1. 建置資訊安全風險管理架構
為提升資訊安全管理,成立「資通安全委員會」,負責審視公司資安治理政策,監督資安管理運作情形,並定期召開會議審理資安治理相關議題及持續改善,以確立資訊安全政策訂定及適用性。「資訊安全委員會」的召集人負責資訊安全治理、規劃、督導及推動執行,以建構出全方位的資安防衞能力及同仁良好的資訊安全意識,本公司事業部長為該委員會當然成員。本公司資通管理組織主要以資訊部為專責核心單位,設置資安主管/配置適足資安人員,並加入相關部門人員一起協同運作,共同推動及處理資安相關事項。
2. 資訊安全政策
本公司的資安策略主軸聚焦資安治理、法令遵循及科技運用三個面向來進行,從制度到科技,從人員到組織,全面性提升資安防護能力。目標則為:
- 辦理資訊安全教育訓練,推廣員工資訊安全之意識與強化其對相關責任之認知。
- 保護本集團業務活動資訊,避免未經授權的存取與修改,確保其正確完整。
- 定期進行內部與外部稽核,確保相關作業皆能確實落實。
- 確保本集團關鍵核心系統維持一定水準的系統可用性。
3. 資訊安全具體管理方案
- 成為台灣電腦網路危機處理暨協調中心(TWCERT/CC)會員,積極接收及傳遞資安情報,以提升應變能力。
- 針對重要主機和網路設備,持續強化備援及備份機制,透過防火牆保護並進行定期電腦病毒掃描,確保系統安全。
- 不定期公告宣導公司資訊安全管理相關政策及規定,提高全體員工的資安意識。
- 除按季召開集團資安會議、每年召開「資通安全委員會」會議持續檢討改善外,並於113.01.31 向董事會進行年度資通安全執行報告。
- 針對本公司資安人員持續教育訓練;另針對全體員工,除日常公告宣導外,另實施「資訊安全教育訓練」課程。
- 有鑑於目前資安新興趨勢,如分散式阻斷服務攻擊攻擊、勒索軟體、社交工程攻擊、釣魚網站等,集團定期關注資安議題並規劃因應計畫,針對不同資安情境演練,強化處理人員的應變能力,以期降低資安威脅危害。
- 持續投入資安資源,以期降低資安威脅危害。