資通安全管理

  (一) 資通安全風險管理架構

公司設有資安中心，包含1位資訊安全主管，負責制定資安策略及督導，確保符合法

規並向高層報告資安狀況。

     下轄資安負責人員1位，負責監控系統安全，並推動資安教育訓練、事件應變處理，

確保內部資安政策符合法規。

 

(二) 資通安全政策：

    1. 政策目的：

鑑於資訊安全乃維繫各項服務安全運作之基礎，特訂定本政策，宣示本公司提供安全無虞之服務的決心與承諾，並作為本公司資訊安全工作之指導方針，以保護本公司資訊機房設備、網路及核心資通系統之安全，以避免當發生人為疏失、蓄意破壞或自然災害時，遭致資產不當使用、洩漏、竄改、毀損、遺失等情事，影響本公司作業或損及員工權益。

  2. 政策目標：

 本公司資訊安全目標為：建置符合國際標準所要求之資訊安全管理系統(Information

      Security  Management System，以下簡稱ISMS)，確保各項服務符合機密性(Confidentiality)、

 完整性(Integrity)、可用性(Availability)與適法性(Compliance)之要求，並依各階層與職能

 定義及量測資訊安全績效之量化指標，以確認ISMS實施狀況及是否達成資訊安全目

 標。

    3. 組織與權責：

為確保資訊安全管理系統能有效運作，應明定資訊安全組織及權責，以推動及維持各

類管理、執行與查核等工作之進行。

    4. 適用範圍：

本資訊安全管理系統考量內部及外部議題、關注方之需要與期望，以及本公司活動

與其他組織活動間之介面及相依性，適用範圍為本公司ISMS所涵蓋範圍內皆適用之。

資訊安全管理系統包括內容如下，有關單位及人員就下列事項，應訂定對應之管理規範或實施計畫，並據以實施及定期評估實施成效：

        (1)資訊安全組織與管理審查

        (2)風險管理

        (3)文件與記錄管理

        (4)資訊安全內部稽核

        (5)人力資源安全管理

        (6)資產管理及存取控制管理

               (7)實體與環境安全管理

        (8)運作安全與密碼學技術管理

       (9)通訊安全管理及資訊安全事故管理

 (10)系統獲取、發展與維護管理

 (11)供應商關係管理

 (12)營運持續管理及遵循性管理 

    5. 實施原則：

資訊安全管理系統之實施應依據規劃(Plan)、執行(Do)、查核(Check)及調整(Act)流程模式，以週而復始、循序漸進的精神，確保資訊業務運作之有效性及持續性。

    6. 審查與評估：

                       (1)上述政策應至少每年評估審查一次，以反映相關法令法規、技術、業務及相關部   門等最新發展現況，確保資訊安全實務作業之有效性。

                      (2)上述政策應依據審查結果進行修訂，並經本公司負責人簽核發佈後始生效。

                      (3)上述政策 訂定或修訂後應以書面、電子郵件、文件管理系統或其他方式告知利害關係人，如：  所屬員工、契約客戶、供應商、合作夥伴                              等。

        

  (三) 具體管理方案及投入資源

1.資安政策與管理辦法

1-1資訊安全政策

1-2資訊分類與存取控制辦法

1-3系統開發與變更管理流程

1-4資訊安全緊急應變計畫

2.資安控管措施

2-1防火牆、入侵偵測/防禦系統

2-2帳號權限控管與多重身分驗證

2-3系統與資料備份策略

3.資安教育訓練與演練

3-1新進員工進行資安意識訓練

3-2每年定期對員工進行資安宣導

3-3 資安事故應變計畫的演練

4. 資安稽核與風險評估

4-1定期進行內部與外部資安稽核

  5. 投入資通安全管理之資源：

建置包括網路防火牆、入侵防禦系統、垃圾郵件過濾、郵件持續進階威脅防護、上網行為管理、防毒系統、資訊安全事件管理與端點防護等系統，以提升資訊安全。

(四) 最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施：

最近年度及截至年報刊印日止，本公司未有因重大資通安全事件對財務業務造成損失之重大影響。