資訊安全管理單位組成及執行計畫
落實情形
一、資通安全管理架構
(一)資訊安全風險管理架構
1. 資訊安全治理組織
本公司於資訊室轄下成立「資訊安全組」簡稱「資安組」,負責統籌資訊安全政策之制定、執行及風險管理,由總經理直接監督與運作,以確認資訊安全政策的落實。另稽核室每年查核資通安全管理作業,並向董事會及審計委員會彙報查核結果。
2. 資訊安全組織架構
(二)資通安全政策
為有效並落實資安管理制度,本公司資安組依據所訂定之規劃來執行、查核、改善管理機制並不定期檢視資訊安全政策之適用性與保護措施,定期向總經理會報執狀況與成效,以確保資訊作業安全,以下將區分四階段說明:
- 規劃階段 → 著重在資安風險管理,將建立完整的資訊安全管理制度,從系統面與程序面來降低資安威脅。
- 執行階段 → 建構多層保護措施並持續導入資安防禦軟體,落實將資安管理制度整合於日常作業程序,以確保重要資訊的機密性、完整性及可用性。
- 查核階段 → 主動並積極監控資安管理成效,並依據查核結果進行資安風險評估。
- 改善階段 → 持續檢討與改善方式,落實監督及執行有效;若違反資安規範情勢,視違規情節進行人事處分及訴求法律行動;此外,不定期檢討及執行包含資訊安全措施、教育訓練及宣導等改善作為,確保重要機密資訊不外洩。
(三)具體管理行為
| 項目 | 具體方式 |
| 網路安全 | a.安裝防毒軟體,執行電腦掃描及系統與軟體更新。 b.強化網路防火牆與網路控管,防止電腦病毒擴。 |
| 裝置安全 | 建置端點防護,強化惡意軟體行為偵測。 |
| 應用程式安全 | 核心作業系統,每年定期災害復原演練。 |
| 實體及環境安全 | 電腦機房設有門禁、溫濕度監控、不斷電系統及滅火設備。 |
| 帳號與權限管理 | a.人員權限依據職務所需給予。 b.離職人員帳號權限註銷。 c.留職停薪人員帳號權限停用。 |
| 資料安全保護強化 | a.文件及資料加密控管。 b.重要客戶或供應商簽署保密協議。 |
| 教育訓練與宣導 | a.新進員工宣導軟體使用規則並簽署同意書。 b.定期進行資訊安全宣導,增加員工資安意識。 c.不定期進行社交工程演練。 |
(四)投入資通安全管理、設備及改善計畫
| 投入項目 | 具體方式 |
| 專責單位 | 設有資訊安全組及稽核單位,負責公司資訊安全規劃、執行、導入與相關的稽核事項,以維護及持續強化資訊安全。 |
| 客戶滿意 | 無違反客戶資料遺失之客訴事件。 |
| 軟硬體設備 | 每年編列固定預算進行資安相關軟硬體的升級和維護,114年改善升級的部分如下: a.機房電力穩定性:UPS電池更換,確保關鍵伺服器與網路設備在突發停電時仍能維持運作,防止系統中斷與資料損毀,提升機房電力供應穩定性。 b.網路邊界防護維護:防火牆病毒碼與特徵庫更新,確保防火牆能持續有效阻擋最新威脅,降低病毒與惡意程式入侵風險。 c.資料安全與備援:增購設備,以建立安全、集中化的資料儲存與備份環境,確保關鍵資料不因設備故障、病毒攻擊或人為誤刪而遺失。 |
| 教育訓練 | 1.每年選派資訊人員參加資訊安全管理課程,114年度資訊主管及人員訓練時數共12小時。 2.對本公司員工進行資訊安全教育訓練共計1次。 |
| 資安宣導公告 | 114年資訊安全宣導共計6次。 |
| 資訊安全演練 | 114年資訊安全社交工程演練1次。 |
| 投入項目 | 具體方式 |
二、資通安全風險與因應措施
本公司已建立網路與電腦相關資安防護措施,但無法保證所有重要之電腦系統都能完全避免網路攻擊,所造成營運、商譽及資料的的損害;有鑑於此,本公司訂有「資安事件處理程序」等應變處置及通報作業程序,以利及時因應,並持續檢視與評估現行之資安相關辦法及程序,以確保其適當性和有效性。
三、重大資通安全事件
截至114年度12月底,本公司尚無重大資通安全事件發生,而面對瞬息萬變之資安威脅,過去的防禦成效不代表未來不會有突發事件發生,本公司對於資訊安全的要求及工具也會應與時俱進。