資訊安全架構、政策及管理方案
資訊安全管理架構:
本公司資訊安全之權責單位為資訊部,該部負責訂定內部資訊安全政策、規劃暨執行資訊安全作業、資訊安全政策推動與落實。
本公司稽核室執行年度稽核計畫,均將資訊安全列入稽核重點,並將結果呈報董事會。
 
資訊安全政策:
為強化資訊管理,確保所屬之資訊資產的機密性、完整性、及可用性,以提供資訊運作所需之環境與架構,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅。
內部安全管控:監控使用者行為,避免異常行為導致資料外流或作業不慎,造成設備故障…等事件。
外部安全管控:監控病毒、釣魚、惡意程式感染或駭客攻擊…等事件。
永續經營管控:預防天災、人禍…等,造成資料損失之風險事件。
 
具體管理方案:
為落實本公司資訊資產之機密性、完整性與可用性,並保障使用者資料隱私,具體管理措施如下:
  1. 限定由本公司允許之資訊設備存取公司資源。
  2. 本公司資訊設備皆須安裝防毒軟體,列入資產管理。
  3. 定期執行資訊系統教育訓練與資訊安全宣導。
  4. 資訊安全設備定期監控,排除內外部資訊安全事件。
  5. 依照職能需求,設定同仁存取權限,由資訊部專人處理。
  6. 外部人員經核准,以VPN加密一次性連線方式,進入系統存取公司資源。
  7. 定期執行系統備份、異地存放作業。
  8. 定期執行系統復原演練。
  9. 合作廠商皆需簽訂保密合約。
  10. 執行資訊安全風險評估機制,提昇資訊安全管理之有效性與即時性。