資通安全
資安風險管理架構
- 資訊安全組織及權責分工
公司應依下列原則,將權責賦予相關部門及人員:
1
管理部門副總經理負責督導資訊安全管理事項。
2
本公司資訊安全之專責單位為資訊處,資安專責主管為資訊處長並設至少1名資安專責人員,負責資訊安全政策訂定及宣導,以及相關安全措施建置、推動及管理。
3
各部門主管負責電腦資料及資訊系統之安全需求研議、使用管理及保護。
- 資訊安全風險評估
評估本公司於營運中資訊安全相關之可能出現的風險與機會,採取管控方案,以維持營運和提供適當資訊服務的能力。
管控方案已於公司治理小組之風險管控分組的資訊安全風險項目暨績效指標,針對資訊安全的可用性、機密性及完整性分別提出其量測指標,作為每季是否達成管控資安風險之檢討依據。
113年度風險管控分組之運作情形,已提報114年2月24日第20屆第5次董事會報告。
資安事件通報程序
資安政策
保護公司資訊資產免於各種威脅與破壞,正常穩定運作,提供可信賴之資通訊服務,確保資訊資產之機密性、完整性及可用性,並順利推展公司各項業務,以保障公司權益。藉由全體同仁共同努力達成以下目標:
- 防範資訊安全威脅之發生,降低資訊安全事件發生之風險。
- 保護公司資料,避免不當使用及存取,防止敏感性及機密性資料外洩或遺失。
- 提高資訊設備及系統效能,確保資訊系統正常運作。
- 確保公司各項資訊業務之執行,符合法令之規範。
管理方案
- 八大具體防護措施
電腦系統安全管理
- 使用者控制安全管理
- 資料、檔案程式安全管理
網路安全管理
- 網路傳輸控管
- 系統連線控管
電子郵件使用資訊安全管理
- 拒絕轉發(Relay Deny)機制
- 隔離病毒信件
系統存取控制管理
- 控管系統權限
- 防止資料洩漏
系統發展及維護安全管理
- 維運安全監督
- 維運商保密規定
資訊資產安全管理
- 資產保管
- 嚴禁非法軟體
電腦病毒及惡意軟體之控制
- 病毒防護機制
- 資安講習與訓練
業務永續運作計畫
- 落實資料備份
- 緊急應變機制
- 加入聯防組織
本公司已加入台灣電腦網路危機處理暨協調中心 (TWCERTCC)。
人力資源
設置督導主管及專責主管、專員,共計6人。且每年編制訓練預算供專責主管及專員參加資安相關訓練或課程。
預算費用(千元)
2023-2025年度,資訊預算中之資安預算的金額及佔比(%)。
2023資訊預算
2024資訊預算
2025資訊預算
資安會議
每週一由專責主管召集資安專責人員檢討資安事宜及資安政策,並每季將相關資安事宜提報高階主管會議;若遭重大資安事件時,由督導主管立即召開應變處理及檢討會議。