公司治理運作情形

資訊安全組織管理

為有效落實公司資訊安全管理,公司有設置資訊安全委員會(Information Security Committee)由研發長擔任召集人,下設資訊安全應變中心與資訊安全執行小組,負責資訊安全管理、規劃、督導及推動執行,以降低公司營運及資訊安全風險,為落實資訊安全維護計畫實施,於112年新增資訊安全稽核小組。資訊安全委員會每年定期開會,審查及檢討公司資訊安全管理政策執行情形,並向董事會報告查核結果,最近一次提報日期為112年11月2日。

資訊安全組織架構與工作職掌:

security

(1)資訊安全委員會:
由研發長擔任召集人;下設資訊應變中心與資訊安全執行小組,負責資訊安全管理制度相關事項之決議執行。

(2)資訊安全執行小組:
由資訊安全委員會召集人指派人員組成,負責規劃及執行各項資訊安全作業。

(3)資訊安全應變中心:
針對非預期資訊安全事件,建立相對應的解決辦法,收集軌跡與事件鑑定。「風險改善計畫」彙整與控管,持續追蹤至完成改善為止。

4)資訊安全稽核小組 :
由資訊安全委員會指派或由第三方協助執行,負責評估資訊安全管理制度之執行情形。

資訊安全政策及具體管理

為確保本公司所屬之資訊資產的機密性、完整性及可用性,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,同時增進資訊安全及穩定之運作,提供可信賴之資訊服務,提升用戶端資安意識,具體管理辦法如下:

管理項目施行措施
資訊安全政策與教育訓練● 資訊安全政策的制定並透過資訊安全宣導提升同仁資訊安全意識
網路安全管理● 依據作業需求與安全等級,有效管理網路環境,區隔內、外網路環境存取控制
系統存取控制● 依據同仁業務需求,制訂系統存取控制政策,明定使用單位及人員的存取權限,異動變更須妥善管制記錄過程以備查詢
● 辦公與研發環境區隔,阻斷機密與敏感資料直接存取的渠道,關鍵資料不落地
終端設備管理● 伺服器、個人電腦、其他裝置等終端設備資訊安全管控,包含軟、硬體資產盤點、防毒、系統 Patch 更新、敏感資料存取管控
資料保護● 定期排程進行資料保全備份,包含電子檔案、文件、郵件、伺服器作業環境、個人電腦、網路設備
資訊安全事故管理● 委外進行資訊系統弱點掃描,並針對弱點進行漏洞修補
● 非預期資訊安全事件,建立相對應的解決辦法,收集軌跡與事件鑑別追蹤,降低發生可能性與減少營運的衝擊

執行情形 (111年10月1日至112年9月30日)

資訊安全委員會每年定期開會,審查及檢討執行情形,最近一次提報董事會日期為112年11月2日。112年度資訊安全事件並未影響營運、商譽,另外於113年上半年取得ISO 27001國際資訊安全管理認證。

  • 資訊安全訓練 : 全體同仁均納入資安訓練對象,達成率 100%
  • 資安事件處理 : 無重大資安事件,持續稽核確保環境安全
  • 資安委員報告: 每年召開 1 次,新增 1條資訊安全政策
  • 弱點掃描 : 執行弱點掃描,減少46.37% 資訊安全修補
  • 資訊安全宣導 : 發佈 5 次資安宣導,強化同仁資訊安全意識