1. 建置资讯安全风险管理架构
为提升资讯安全管理,成立「资通安全委员会」,负责审视公司资安治理政策,监督资安管理运作情形,并定期召开会议审理资安治理相关议题及持续改善,以确立资讯安全政策订定及适用性。 「资讯安全委员会」的召集人负责资讯安全治理、规划、督导及推动执行,以建构出全方位的资安防卫能力及同仁良好的资讯安全意识,本公司事业部长为该委员会当然成员。本公司资通管理组织主要以资讯部为专责核心单位,设置资安主管/配置适足资安人员,并加入相关部门人员一起协同运作,共同推动及处理资安相关事项。
2. 资讯安全政策
本公司的资安策略主轴聚焦资安治理、法令遵循及科技运用三个面向来进行,从制度到科技,从人员到组织,全面性提升资安防护能力。目标则为:
- 办理资讯安全教育训练,推广员工资讯安全之意识与强化其对相关责任之认知。
- 保护本集团业务活动资讯,避免未经授权的存取与修改,确保其正确完整。
- 定期进行内部与外部稽核,确保相关作业皆能确实落实。
- 确保本集团关键核心系统维持一定水准的系统可用性。
3. 资讯安全具体管理方案
- 成为台湾计算机网络危机处理暨协调中心(TWCERT/CC)会员,积极接收及传递资安情报,以提升应变能力。
- 针对重要主机和网络设备,持续强化备援及备份机制,透过防火墙保护并进行定期计算机病毒扫描,确保系统安全。
- 不定期公告倡导公司信息安全管理相关政策及规定,提高全体员工的资安意识。
- 除按季召开集团资安会议、每年召开「资通安全委员会」会议持续检讨改善外,并于113.01.31 向董事会进行年度资通安全执行报告。
- 针对本公司资安人员持续教育训练;另针对全体员工,除日常公告倡导外,另实施「信息安全教育训练」课程。
- 有鉴于目前资安新兴趋势,如分布式阻断服务攻击攻击、勒索软件、社交工程攻击、钓鱼网站等,集团定期关注资安议题并规划因应计划,针对不同资安情境演练,强化处理人员的应变能力,以期降低资安威胁危害。
- 持续投入资安资源,以期降低资安威胁危害。