資通安全
資通安全管理
1.資通安全風險管理架構
本公司依據上市上櫃公司資通安全管控指引及相關標準,建構完善之資通安全風險管理體系,涵蓋風險辨識、分析、評估及應對各階段流程,並透過定期再評估機制,動態調整因應策略以強化韌性。治理層級方面,由最高管理階層負責資安政策制定與資源配置,資安專責單位負責政策落實與技術執行,全體員工則依內部規範執行操作,形成橫向整合、縱向貫穿的治理架構。另針對潛在威脅及脆弱性,定期實施弱點掃描與滲透測試,並建立資安事件通報與應變流程,確保風險即時掌握與有效控制。
2.資通安全策略
本公司資通安全政策以保障資訊機密性、完整性與可用性為核心目標,並明確對應國內外法規與產業要求,涵蓋個資保護、營運持續及企業社會責任。制度上,採取分層分權原則進行存取控管,依職務屬性設定權限,並定期審查調整以符合法令與實務需求;資料處理方面,落實備份、加密與異地儲存,確保營運不中斷;供應鏈管理方面,透過合約條款及稽核機制,強化外部服務提供者之資安責任與履約品質。
3.具體管理方案
本公司已全面導入各類資訊資產管理與控制措施,以降低營運風險與資安威脅,具體方案如下:
(1)網路資源安全管理:建置多層次防護機制,包含防火牆、入侵偵測/防禦系統及網路隔離策略,有效防範未經授權之存取。
(2)硬體資源安全管理:對資訊資產進行標示與盤點,落實設備使用權限與存取控管。
(3)版權軟體資源安全管理:強化軟體資源合規性管理,定期盤點使用狀況,避免非法軟體風險。
(4)資訊安全教育訓練:規劃教育訓練與社交工程演練,提升資安防護意識與應變能力。
(5)資料安全控制:實施分類分級管理,結合權限控管、備份與異地備援機制,確保資料可控與可回復。
(6)委外資料安全:對外包廠商設定資安條件,並實施定期稽核,以控管資料處理與交付過程風險。
(7)機房安全管制:強化機房門禁、監控與人員識別管理,並落實環境監控與災害防護措施。
(8)資安事件通報與復原:建構完整事件通報流程、應變計劃與應變層級分類,如有資安事件發生,資訊單位須查明事件,判斷影響範圍進行適當處理,事件紀錄以及提交改善報告。本公司亦有定期進行災難復原演練,確保異常發生時能迅速應對與持續營運。
(9)資安教育訓練
🔹新進同仁報到即進行一次資安教育訓練。
🔹2024年資訊組高風險職位額外進行資安培訓1次。
4.資通安全管理資源投入
本公司持續投入資源於資通安全管理。投入事項包括設有資安專責單位,負責風險評估與日常監控,並透過定期權限審查與教育訓練,強化全員資安意識。技術方面則導入系統等工具,並持續推進系統偵測與零信任架構等新興技術。財務上,資訊單位提供資安投資需求,強化雲端防護與營運穩定性。
透過完善的資通安全風險管理架構、明確的資安政策、具體可執行的管理方案及持續加大資源投入,本公司能有效提升資安防護能力,降低資訊風險,確保業務永續經營。