資通安全管理
一、 組織
為強化本公司之資訊安全管理、確保資料、系統及網路安全,設立資訊安全部門,為資訊安全專責單位,負責資通安全事務的規劃與執行。另成立資訊安全管理委員會,督導資訊安全管理制度之運作,鑑別資訊安全管理制度之內、外部議題及利害相關團體對本集團之資訊安全要求與期望。
二、資訊安全政策
本公司訂定遵循合乎法令法規之資通安全政策,明確宣示支持資通安全目標,使全公司同仁有所依循,以降低任何資安事件所帶來之衝擊,持續運作及改善資通安全管理系統,保障本公司與消費者之權益。
適用範圍
本集團全體人員(包括正式員工、派遣人員、約聘員工、臨時雇員等)、與本集團有業務往來之廠商及其人員、本集團訪客等,皆應遵守。
資訊安全目標
- 確保本集團資訊資產之機密性,落實資料存取控制,資訊需授權人員方可存取。
- 確保本集團資訊作業管理之完整,避免未經授權之修改。
- 確保本集團資訊作業之持續運作。
- 確保本集團資訊作業均符合相關法令規定要求。
資訊安全控制措施
- 成立資訊安全管理委員會,督導資訊安全管理制度之運作,鑑別資訊安全管理制度之內、外部議題及利害相關團體對本集團之資訊安全要求與期望。
- 資訊安全管理委員會應承諾維護資訊安全,持續改善資訊安全品質,減少資訊安全事故之發生,以保障客戶之權益。
- 資訊安全管理制度文件應適時更新,紀錄之保護應有明確管理機制。
- 定期進行資訊資產分類與風險評鑑。
- 本集團全體人員皆有責任及義務保護其擁有、保管或使用之資訊資產。
- 工作分派應考量職能分工,職務責任範圍應予區分,以避免資訊或服務遭未經授 權修改或誤用。
- 對於與本集團有業務往來之廠商之人員、駐點及派遣人員、本集團訪客有存取本集團資訊資產之需求時,應進行必要之審核。該等人員並負有保護其所持有、保管或使用本集團資訊資產之責任。
- 依業務需求訂定資訊作業的持續運作計畫,並定期測試演練。
- 定期檢測資訊安全指標,以維持資訊安全管理制度及管控程序實施之有效性。
- 確保工作區域場所之安全,以防範資訊資產遭竊取或毀損。
- 落實通訊安全管理。
- 資訊作業或程序之開發、修改及建置,皆須符合並遵循資訊安全目標之規定。
- 本政策適用對象應隨時注意是否有發生資訊安全事件、安全弱點及違反安全政策與規範之虞之情事,並依程序進行通報。
- 遵循內外部相關法令規定,建立應有之管控程序,定期執行資訊安全查核作業。
- 應採用行動裝置安全措施,以管理使用行動裝置所導致之風險。
- 應於資訊作業專案管理中納入資訊安全相關議題。
三、資訊安全具體管理方案
| 管理項目 | 具體管理方案 |
| 人員安全 |
|
| 資訊資產安全 |
|
| 存取控制安全 |
|
| 金鑰管理安全 |
|
| 實體環境安全 |
|
| 系統與網路安全 |
|
| 營運持續安全 |
|
四、資通安全的資源投入
- 設立資訊安全部門,為資安專責單位,包含資安主管、及兩名資安人員。
- 資訊安全部門與其餘單位每月固定招開一次會議,以確認資安控管執行方針與已知改善項目追蹤。
- 資安主管至少每年一次招開資安管理審查會議,向董事長報告資訊安全重大內外部議題與相關規劃。
- 每年舉辦至少兩場次資訊安全教育訓練,以強化全體員工資安認知。
- 定期執行紅隊演練、弱點掃描、滲透測試與電子郵件社交工程演練等,持續強化資安防護能力之強度。
- 導入國際資訊安全標準,如 ISO 27001 標準,並逐步取得驗證。目前已於 2022 年 8 月 16 日通過 ISO 27001 驗證,證書效期為 2022 年 10 月 24 日 至 2025 年 10 月 24 日。
ISO 27001 Certificate (2022/10/14-2025/10/24) - 導入資訊安全相關解決方案,以強化與監控系統及網路安全。
五、緊急通報程序
當發生資訊安全事件時,發生單位須判定事件等級,並根據事件等級通報至資訊安全部門與相關單位,並於時限內處理完成。