資訊安全管理單位組成及執行計畫
落實情形
一、資通安全管理架構
(一)資訊安全風險管理架構
1. 資訊安全治理組織
本公司於資訊室轄下成立「資訊安全組」簡稱「資安組」,負責統籌資訊安全政策之制定、執行及風險管理,由總經理直接監督與運作,以確認資訊安全政策的落實。另稽核室每年查核資通安全管理作業,並向董事會及審計委員會彙報查核結果。
2. 資訊安全組織架構
(二)資通安全政策
為有效並落實資安管理制度,本公司資安組依據所訂定之規劃來執行、查核、改善管理機制並不定期檢視資訊安全政策之適用性與保護措施,定期向總經理會報執狀況與成效,以確保資訊作業安全,以下將區分四階段說明:
- 規劃階段 → 著重在資安風險管理,將建立完整的資訊安全管理制度,從系統面與程序面來降低資安威脅。
- 執行階段 → 建構多層保護措施並持續導入資安防禦軟體,落實將資安管理制度整合於日常作業程序,以確保重要資訊的機密性、完整性及可性。
- 查核階段 → 主動並積極監控資安管理成效,並依據查核結果進行資安風險評估。
- 改善階段 → 持續檢討與改善方式,落實監督及執行有效;若違反資安規範情勢,視違規情節進行人事處分及訴求法律行動;此外,不定期檢討及執行包含資訊安全措施、教育訓練及宣導等改善作為,確保重要機密資訊不外洩。
(三)具體管理行為
(四)投入資通安全管理
二、資通安全風險與因應措施
本公司已建立網路與電腦相關資安防護措施,但無法保證所有重要之電腦系統都能完全避免網路攻擊,所造成營運、商譽及資料的的損害;有鑑於此,本公司訂有「電腦防毒管理辦法」、「資安事件處理程序」等應變處置及通報作業程序,以利及時因應,並持續檢視與評估現行之資安相關辦法及程序,以確保其適當性和有效性。
三、重大資通安全事件
最近年度及截至年報刊印日止,本公司尚無重大資通安全事件發生,而面對瞬息萬變之資安威脅,過去的防禦成效不代表未來不會有突發事件發生,本公司對於資訊安全的要求及工具也會應與時俱進。