(一) 資通安全風險管理架構:
為提升公司資安防禦能力,配置資訊安全專責主管及專責人員各1名,並於2023.11.9經董事會決議同意通過。
(二) 資通安全政策、具體管理方案及投入資通安全管理之資源:
資訊安全2022年已列為本公司的重大主題方針,我們特別重視資訊安全管理及資安風險管控,因應管理方針制定下列項目 :
1.資訊安全政策
「維護公司整體資訊安全,強化各項資訊資產之安全管理,確保其具機密性、完整性、可用性與適法性,避免發生人為疏忽、蓄意攻擊及天然災害時影響公司作業或損及
公司權益,確保業務持續營運」。
2.資訊安全策略
為落實資訊安全管理,公司成立資訊安全組織,成員包含公司高階主管,負責推動、協調及督導下列資訊安全管理事項 :
(1)善用數位科技,持續創新,秉持永續經營理念,不斷精進資訊安全制度與強化防禦應變能力,全面導入資訊安全管理機制,定期檢視,快速應變資安風險,確保業務
持續營運不中斷。
(2)重視資訊相關系統、設備與網路之安全,定期執行資訊安全演練與教育訓練,提升同仁對於資安的意識及警覺性,將資訊安全融入日常業務中。
(3))善盡顧客資料隱私保護承諾,明確規範蒐集、處理及取用等管理措施及權限,保障顧客個人資料安全。
3.資訊安全組織
為落實資訊安全管理,公司成立資訊安全組織,成員包含公司高階主管,負責推動、協調及督導下列資訊安全管理事項 :
(1)資訊安全政策之核定及督導
(2)資訊安全責任之分配及協調
(3)資訊資產保護事項之監督
(4)資訊安全事件之檢討及監督
(5)資訊安全事項之核定
(6)定期召開資訊安全會議
4.資訊安全管理與執行
本公司針對資安風險管控,從系統面、網路面、資料面及設備面,積極規劃部署資訊安全措施,改善資訊安全環境,降低資訊風險。包含以下項目:
(1)系統帳號管理與稽核
(2)系統資料存取權限管控與稽核機制
(3)系統原始碼管理與檢測
資訊系統之相關原始碼,應依機密等級給予適當安全屬性,不同安全屬性之文件應分開,並以相對應的安全措施加以保存。委外或自建的系統程式碼均通過程式
原碼檢測驗證,符合國際認證標準。
於2022年對集團內外部系統進行資安原始碼掃描,已將問題修正完畢。
(4)網路安全
建置網路安全防護設備(防火牆),郵件過濾系統,防毒防護系統,並依業務所需設定安全存取權限。
於2022年強化主機上的安全管理,佈署主機上的防毒安全措施。
(5)備份與災害復原
為確保集團資訊系統之資料完整與正確,訂定備份與災害復原計畫,定期演練確保發生災害或儲存媒體失效時,可迅速回復正常作業。
於2022年將資料庫的備份機制轉移到雲端。
於2022年實施1次災害備援演練,RTO為1小時,RPO為13.5小時,順利完成,並留文件備查。
(6)電子郵件管理
使用公司郵件需遵循電子郵件管理辦法,對帳號、使用規則及郵件使用安全進行管理。
5.員工資安訓練宣導
本公司對新員入職時會進行基礎的資訊安全教育訓練,並且會定期對在職人員進行資安宣導及資安演練,加強資安意識。當發生資安事件時,進行資安通報,提高員工
防範外部攻擊的意識,為公司經營提供資訊安全保障。
於2022年3、6、9及12月執行對在職人員資安宣導。
於2022年7~9月對在職人員進行社交工程演練。
(三)最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施:
本公司2021年及截至年報刊印日止所發生之資安事件,對公司的整體營運無重大影響。
