資訊安全管理之目的:

1、確保公司主機、網路設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,並建立資通安全管理規範。
2、確保公司業務資訊之機密性、完整性與可用性。
機密性:確保被授權之人員才可使用資訊。
完整性:確保使用之資訊正確無誤、未遭竄改。
可用性:確保被授權之人員能取得所需資訊。

資訊安全政策內容:

1、本公司各項資訊安全管理規定必須遵守政府相關法規(如:資通安全管理法、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)之規定。
2、成立資訊安全管理專職單位,負責資訊安全制度之建立及推動事宜。
3、定期實施資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
4、建立主機及網路使用之管理機制,以統籌分配、運用資源。
5、新系統及設備建置上線前,須將風險、安全因素納入考量,防範危害資訊安全之情況發生。
6、建立資訊機房實體及環境安全防護措施,並定期施以相關維護及保養。
7、明確規範網路系統之使用權限,防止未經授權之存取動作。
8、訂定資訊安全管理制度內部稽核計畫,定期檢視資訊安全管理制度範圍內所有人員及設備使用情形,依稽核報告擬訂及執行矯正預防措施。
9、訂定營運持續管理備援/備份還原之演練,確保公司業務持續運作。
10、本公司所有人員負有維持資訊安全之責任,且應遵守公司相關之資訊安全管理規範。
11、委外廠商在執行本公司委外業務時若有複委託之需求,應評估複委託業務相關之資安風險。並要求委外廠商依資訊安全相關規定對複委託廠商進行適當之監督與管理。
12、對內部及外部專案管理的過程中,應明訂及陳述與專案相關之各項資訊安全要求,確保內部及外部專案資訊之機密性、完整性及可用性,降低機敏資訊(含個人資料)外洩及違反法令之風險。
13、資安政策之評估與審查應至少每年評估及審查一次,以反映管理政策、政府法令、新科技技術及公司業務等之最新發展現況,確保資訊安全管理制度的可行性及有效性,以維持營運和提供適當服務的能力。

資訊安全風險管理架構:

1、本公司資訊安全之權責單位為資訊部,該部設置資訊主管,與專業資訊人員,負責訂定企業內部資訊安全政策、規劃暨執行資訊安全防護與資安政策推動與落實,並定期公佈公司資安治理概況。
2、本公司稽核室為資訊安全監理之督導單位,該室設置稽核主管,與專職稽核人員,負責督導內部資安執行狀況,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
3、組織運作模式採定期稽核與循環式管理,確保可靠度目標之達成且持續改善。

資訊安全政具體管理方案:

本公司資訊安全管理機制,包含以下三個面向:

1、制度規範:訂定公司資訊安全管理制度,規範人員作業行為。
2、系統防護:建置資訊安全管理系統,落實資安防護管理措施。
3、人員訓練:進行資訊安全教育訓練,提昇全體同仁資安意識。

資訊安全管理措施說明如下:

制度規範:本公司內部訂定多項資安規範與制度,以規範本公司人員資訊安全行為,每年定期檢視相關制度是否符合營運環境變遷,並依需求適時調整。

系統防護:本公司為防範各種內/外部資安威脅,除採多層式網路架構設計外,更建置各式資安防護系統,以提昇整體資訊環境之安全性。此外,為確保內部同仁之作業行為符合公司制度規範,亦設計作業程序稽核機制和導入資安管理工具,落實人員資訊安全管理措施。

人員訓練:本公司定期實施新進人員資訊安全教育訓練實務課程,並不定期實施資訊安全機會宣導,藉以提昇公司同仁資安知識與專業技能。


本公司實施之資訊安全政策與管理措施,包含如下:

類別 說明 相關措施
權限管理 人員帳號, 權限管理, 系統操作 人員帳號權限管理與審核
人員帳號權限定期盤點
存取管制 人員存取內外部系統, 資料傳輸管道安全措施 內/外部存取管控
資料外洩管控
操作行為軌跡紀錄
外部威脅 內部系統潛在弱點, 防毒防駭的保護措施 主機電腦弱點檢測與更新措施
防毒防駭, 垃圾與惡意程式偵測
系統可用 系統可用狀態與服務中斷時的處置措施 系統/網路可用狀態監控及通報機制
服務中斷之應變措施
資料備份與系統備援機制
定期災害還原演練

本公司資通安全通報程序如下,資安事故之通報與處理,皆遵守該程序之規範進行。