為加強資訊安全風險管理,本公司已於108年 5 月成立資安委員會,本委員會負責審視各業務單位之資訊安全政策之治理、規劃、督導及執行情形,以建構出資訊安全防衛能力及同仁良好的資訊安全意識,每年並定期向董事會報告當年度執行情形。
一、資訊安全管理架構
1.當資安問題發生,若為網路攻擊,須於第一時間通報資訊主管。
2.若為資料遺失或竊取,則須上報總經理。
3.當發生資安事件,資訊人員需儘速處理並於處理完成後進行通報。
4.資安事件處理完成後,需記錄於工作週報,以做未來佐證或參考之用途。
二、資訊安全政策
1.訂定電子計算機內控循環-資通安全檢查作業程序,確保資料機密性、完整性及可用性。
2.定期宣導各項資訊安全防護工作,建立同仁”落實資訊安全之觀念”,提升企業整體資安之防護等級,
3.定期評估公司資訊設備資產,訂定資訊設備可用性及災害復原計畫,以確保公司業務可持續運作。
三、具體管理措施
1.本公司針對重要營運資產如伺服器、網路設備等資訊設備,皆有使用備援處理,避免設備損壞造成營運資訊中斷問題。
2.公司員工非經權責主管授權,禁止將公司相關之機密資訊經由電子郵件對外傳送、重要之軟體及檔案予加密處理,以避免遭剽竊。
3.指定適當資訊人員,定期檢查員工所使用之軟體是否合法、管理階層定期檢視電子循環之書面記錄,以瞭解對規範之遵循與編製之完整性,並對檢查所提出之發現與問題予以瞭解、追蹤及覆核改善之情形。
四、113 年度執行情形
1.本公司已於113年度經營決策管理會議上進行5次檢討整體資訊安全政策執行情形,當年度並無危害本會資訊安全之事件。
2.本年度已辦理2次全體員工對於「郵件使用安全」及「社交工程防範」之宣導教育。
3.本年度已辦理8次抽樣備份進行還原演練,確保備份資料還原之可用性。
4.本年度已辦理1次社交工程演練,加強員工對於資訊安全風險之應變與警覺性。
5.本年度已辦理1次MRP核心業務持續演練,確保異地備援之可用性。
6.113年度資訊安全風險管理執行情形於113年11月13日提報董事會。