本公司為強化資訊安全管理,確保所屬資訊資產之機密性、完整性及可用性,設置資訊安全長及資安專責單位,資安專責單位包含一位資訊安全長及一位資安專責人員,負責訂定公司資訊安全政策,規劃資訊安全措施,定期召開資通安全管理會議並執行相關之資訊安全作業,以提供本公司之業務持續運作之資訊環境。每年內部稽核單位進行資通安全檢查之作業查核,若發現缺失,會要求改善措施並追蹤改善結果。
本公司依「公開發行公司建立內部控制制度處理準則」第九條「電腦化資訊系統處理」之規定,制定資訊安全相關內部作業規範,以降低新興資訊科技應用及環境變遷所帶來之資安風險。公司全體同仁、供應商及委外服務廠商均應遵守本公司資訊安全規範約定,並於發現資安事件時通報相關聯絡人;對於危及資訊安全之行為,將視情節依公司規定追究相關責任。並期許藉由全體同仁共同努力,達成以下政策目標:
•確保資訊資產之機密性、完整性。
•確保各部門依據職能規範資料存取。
•確保資訊系統之持續運作。
•防止未經授權修改或使用資料與系統。
•確保系統漏洞及時防堵。
•定期執行資安稽核作業,確保資訊安全落實執行。
| 管理方案項目 | 管理方案內容 |
|---|---|
| 網際網路及設備資安管控 | 本公司委由專業資訊廠商架設防火牆、定期每四個月執行一次電腦設備保養及即時排除故障之到府維修服務, 並對電腦系統進行病毒掃描及系統更新,定期盤點資訊資產進行風險管理,並落實各項管控措施。 |
| 資料存取管控 | 管理上所需之財務資料、客戶及供應商資訊資料、業務相關資訊、電腦資訊系統(ERP)資料等為本公司重要營 業機密檔案由權責人員維護,並於系統及公共槽依據職能賦予不同存取權限,並由本公司營運管理部負責控管 權限,如有離職人員則取消原有權限並註銷帳號。 |
| 應變復原機制 | 建立系統備份機制,每日執行整機備份及電腦資訊系統(ERP)備份,並將備份資料儲存於NAS(網路附接儲存裝 置)及訂閱Acronis進行雲端備份以落實異地備援,此外,每年至少執行一次系統復原計畫演練。 |
| 防範駭客攻擊和勒索 | 本公司採行多項資安防護措施,包括安裝防毒軟體並定期確認病毒碼更新、強化網路安全設定如架設防火牆、 限制外部存取及定期更換密碼。此外,每日將最新之備份,放置於與主機房不同處所之雲端空間以防止駭客及 勒索軟體攻擊後損失本公司重要資料,並確保能夠快速恢復。 |
| 宣導及檢核 | 日常宣導資訊安全資訊以提升員工資安意識,宣導同仁帳號、密碼與權限應善盡保管與使用責任並定期換置密 碼;每年定期實施內部稽核,以確保資訊安全、個資保護管理制度之有效性。 |
| 投入資源項目 | 投入資源內容 |
|---|---|
| 硬體設備 | 防火牆、不斷電設備(UPS)、伺服器等 |
| 軟體系統 | 郵件防毒、垃圾郵件過濾、備份管理軟體等 |
| 投入人力 | 資安專責單位將執行日常系統狀態檢查、每日備份作業及異地備份存放,不定期辦理資安宣導教育,並配合內部稽核執行 資通安全內部查核及會計師執行電腦審計,以強化資訊安全管理與內控制度。114年已召開3次資通安全管理會議,且執行 1次系統災難復原演練。 |