資通安全管理
資通安全風險管理架構:
本公司資安部門,負責審視公司資通安全政策、監督資通安全管理運作情形,確認本公司資通安全管理運作之有效性,並建立同仁良好的資通安全意識。每年定期由內部稽核單位執行資通安全管理作業查核,出具稽核報告,並定期於審計委員會及董事會做稽核結果業務報告。
資通安全政策:
- 目的:
本公司資通安全策略主要聚焦資通安全治理及法令遵循,全面提升資通防護能力,確保客戶資料及公司智慧產出不受侵害,降低本公司面臨內外部資通安全風險。由資安部門負責推展資通安全管理作業,制定管理目標,持續強化監控及管理機制,包含強化教育訓練、資通安全架構設計,並確認所有資通作業符合國內外資通安全法令規定。 - 範圍:
為避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害,資訊安全範圍管理事項如下:- 資訊安全政策訂定與評估。
- 資訊安全組織。
- 資訊人力資源安全。
- 資訊資產管理。
- 實體與環境安全。
- 存取控制安全。
- 通訊與作業安全。
- 資訊系統開發與維護之安全。
- 委外管理。
- 資料備份管理。
- 資訊安全事件暨事故管理。
- 營運持續運作管理。
- 資訊安全政策遵循性管理。
- 管理措施:
擬定資通安全計畫以逐年推動資通安全政策,導入資通安全制度與流程規範,並持續架構完整資通安全技術防護措施。資通安全管理措施摘要如下:
| 項目 | 相關作業或控制措施 |
|---|---|
| 資通安全治理 |
|
| 資通資產及系統管理 |
|
| 權限管理 |
|
| 外部威脅 |
|
- 目標:
- 透過上述資通安全範圍管理與管制,結合預防與復原控制措施及程序,落實本公司企業持續營運之目標,預防營運活動中斷,將可能造成營運中斷之風險降低到可接受的等級。
- 持續辦理資通安全教育訓練與宣導,提高員工資通安全意識與強化其對相關責任的認知,確保資通之機密性及完整性,並保障員工、業務及客戶資料之隱私無虞。
- 建立資通業務永續運作計畫,執行符合相關法令或法規要求之資通業務活動運作。
執行情形:
資通安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:
- 本公司以打造嚴密有效的資安防禦網為資通安全願景,於2023年投入資通安全防護建置,除了基本防火牆、掃毒軟體外,建置EDR、NDR、Flowmon三方串聯網路聯防系統,增加資通安全防護,以降低業務中斷所造成的風險損失。
- 為強化資安防護能力,每年與防駭專業廠商簽訂維護合約,協助公司強化網路聯防能力。
- 廠商定期協助檢視TWCERT在內的威脅情資,並依據情資內容進行風險評估,與資安人員確認,進行更新EDR、NDR、防火牆、掃毒軟體更新修補漏洞,達到資安零風險的目標。
- 本公司於2024年2月29日向審計委員會及董事會報告資通系統管理制度執行情形及資通安全檢查結果。經檢討各部門資通管理之執行情形,2023年並無發生危害資安之事件。
- 2024年以線上課程形式,搭配課後測驗 (達100分才通過,未及格者需進行重測),向內部員工進行誠信經營法規、營業秘密與智慧財產權保護、東哥人權政策、職場不法侵害 (職場暴力與性騷擾防治)、資訊安全宣導之教育訓練課程,計780參訓人次,共130小時。
