●資訊安全管控:
為確保資訊安全管理相關事項之推動,本公司成立資訊安全管理小組,由資訊部負責主導、規劃及制定資訊安全管理政策,並由各業務相關單位配合執行,更定期實施資訊安全宣導及資安稽核,確認資訊安全管理運作之有效性。且為配合本公司資訊安全政策,並考量適用之資訊安全要求事項、風險評鑑以及風險處理結果後,制訂資訊安全目標及範圍等相關規範。
|
|
同時,每月定期布達病毒更新資訊並宣導日常注意事項,更透過郵件方式不定期發送重要資安訊息提醒同仁注意資訊安全。除了例行資安宣導外,本公司每年均定期進行1次社交工程演練及2次(上下半年各1次)員工資安教育訓練,以全面性提升公司同仁資安意識,強化資訊安全。
其中資訊安全教育訓練主要以新進間接人員為主,另亦針對未通過社交工程演練的人員進行加強訓練與考核,2024年進行 1 次社交工程演練及 2 次(上下半年各 1 次)員工資安教育訓練。
|
●組織架構
資訊安全小組組織架構
|
|
 |
資訊系統安全與管理政策與處理程序
●資通安全政策
台灣典範對於資訊安全和機敏資料保護的承諾,這不僅是對公司內部業務的保護,更是對社會、股東和商業夥伴的責任。為確保公司內部資訊和資訊系統的安全性,公司採取以下措施:
1. 預計推動使用文件保全加密管制系統,保護公司內部重要機敏資料,避免未經授權之機敏文件外流事件發生。
2. 預計推動 ISO/IEC 27001 資訊安全管理系統認證,從系統面、技術面及程序面降低企業資安威脅,以建立符合客戶需求、最高規格的機密資訊保護服務。
●資通安全管理
透過規劃及評估、建置與執行、檢視及覆核、追蹤與持續改善的資訊安全管理方式。加強資安技術發展規劃,如:強化資安攻擊防護、即時偵測外部威脅並有效阻斷、降低機敏資料外洩風險,做為資安發展重點。
1. 遵照國際標準要求推動及強化資訊安全管理系統,加強資訊安全教育訓練。
2. 執行核心業務系統災難復原作業,以確保備援程序與資料備份的有效性,透過實際演練確保資訊系統服務能順利銜接,以預防災難發生的風險。
3. 針對所有資料進行分級分類,並對於所儲存或傳遞之機敏資料採取嚴格的資料外洩防護措施與監控,以確保營業秘密安全。
4. 降低發生毀損、失竊、洩漏、竄改、濫用與侵權等資通安全事件時之衝擊。
5. 續提升各資訊服務系統所有作業之機密性、完整性與可用性。
6. 設置資安事件通報程序,確保資安事件發生時能即時且有效實施因應措施,降低資安事件造成企業團之損失風險。
|
|
|
資安事件通報程序
本公司已建立完善的資訊安全事件通報機制,確保能即時辨識、回應並減輕產品資料安全風險。
|