資安政策

    1.強化人員認知。
    2.避免資料外洩。
    3.落實日常維運。
    4.確保服務可用。

資訊安全目標:

    1.辦理資訊安全教育訓練,推廣員工資訊安全之意識與強化其對相關責任之認知。
    2.保護本集團業務活動資訊,避免未經授權的存取與修改,確保其正確完整。
    3.定期進行內部與外部稽核,確保相關作業皆能確實落實。
    4.確保本集團關鍵核心系統維持一定水準的系統可用性。

資訊安全委員會架構與工作執掌:

    資訊安全委員會:

     為任務編組方式組成,由本集團資訊長擔任召集人;
     各事業部級主管為委員,如因職務調動應即刻指派遞補人員與辦理交接。

    執行秘書:

      由召集人指派資訊部門人員擔任。

    資訊安全執行小組:

      為任務編組方式組成,由委員指派專人擔任組長與組員,負責規劃及執行各項資訊安全作業。

    緊急處理小組:

     為任務編組方式組成,由委員指派專人擔任組長,各關鍵業務流程負責人擔任組員。

    資訊安全稽核小組:

     由資訊安全委員會指派,負責評估資訊安全管理制度之執行情形。



資訊安全具體管理方案:


為提升資訊安全管理,集團已在民國107年4月成立「資訊安全委員會」,負責審視公司及各子公司資安治理政策,監督資安管理運作情形,並定期召開「ISMS管理審查會議」審理資安治理相關議題及持續改善,以確立資訊安全政策訂定及適用性。

「資訊安全委員會」的召集人由資訊長擔任,負責資訊安全治理、規劃、督導及推動執行,以建構出全方位的資安防衞能力及同仁良好的資訊安全意識。

資安策略主軸聚焦資安治理,法令遵循及科技運用三個面向來進行,從制度到科技,從人員到組織,全面性提升資安防護能力。

有鑑於目前資安新興趨勢,如 DDoS(Distributed Denial of Service) 攻擊、勒索軟體、社交工程攻擊、偽冒網站等,集團定期關注資安議題並規劃因應計畫,針對不同資安情境演練,強化處理人員的應變能力,以期能在第一時間即偵測到並完成阻擋。 且定期進行安全稽核作業(通信與作業管理辦法),如弱點掃描或滲透測試,以確定資訊系統及網路環境符合安全實施標準。

集團考量資安險仍是新興險種,涉及資安等級檢測機構、理賠鑑識機構及不理賠條件等相關配套,因此目前正在評估是否購買資安險。後續目標則是完備資安相關規範、定期資安評估、取得國際資安認證,未來將持續強化資安防護與建立聯防機制,尤其在培訓優質資安人才上也要同步跟上,公司每年度定期公告宣導資安政策及安排資安相關教育訓練。

資訊安全認證:


ISO27001証書(中文)
ISO27001証書(英文)

top