資通安全風險管理架構
依據「公開發行公司建立內部控制制度處理準則」第九條之一之規定,公開發行公司應配置適當人力資源及設備,進行資訊安全制度之規劃、監控及執行資訊安全管理作業。本公司自2022年度起,由資訊室為資訊安全專責單位,以統籌規畫本公司之資訊安全機制,並由資訊室經理兼任資安專責主管,定期向董事會報告公司資安治理概況,近期報告日期為2024年12月23日。
本公司稽核室為資訊安全檢查之查核單位,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
資通安全政策
- 保護資訊及資通系統避免受到未被授權的存取,保持資訊及資通系統的機密性。
- 防護未經授權的修改以保護資訊及資通系統之完整性及可用性,並正確執行本公司作業與各項業務。
- 確保經授權之使用者當需要時能使用資訊及資通系統。
- 確保本公司資通安全管理制度運作持續正常。
- 評估各種人為或天然災害之影響,訂定核心資通系統之復原計畫,以確保核心業務可持續運作。
- 落實資通安全教育訓練及新進人員資安宣導,以提高員工之資通安全意識。
- 推動資通安全防護整合,強化資通安全聯防及情資分享。
- 符合法令與法規要求。
| 類別 | 風險評估 | 已執行的控制措施 |
|---|---|---|
| 權限管理 | 資料未授權存取 | 1.人員帳權限管理及審核 |
| 存取管制 | 存取內部系統及資料傳輸管控不足,造成資料損壞及外洩 | 1.防止內部系統存取及資料外洩,設定更嚴謹帳號權限管控,密碼每隔90天需更換且符合複雜度原則 |
| 外部威脅 | 伺服器及PC病毒侵犯 | 1.伺服器建立AI端點防護機制 |
| 應用系統 | 系統與服務中斷時 | 1.伺服器採虛擬化備援方式建立。 |
| 郵件系統 | 郵件被攻擊、垃圾氾濫 | 1.更新電子郵件軟體與防釣魚機制 |
| 員工 | 資安觀念不足,造成中毒 | 1.每月定期資安通報及觀念宣導 |
投入資通安全管理之資源
- 由資訊室為資訊安全專責單位,以統籌規畫本公司之資訊安全機制,並於2022年9月起設置資安專責主管及1名資安專責人員。
- 針對使用電腦之同仁定期辦理資訊安全教育訓練,2024年度本公司共舉辦四次資訊安全教育訓練,課程內容包資料防護、資料備份、社交工程、資訊安全威脅與防護趨勢、殭屍電腦等,受訓人數計43人。
- 資安主管定期於每月月初發送資訊安全通知信,傳達資訊保護與資通安全之重要,彙整近期與企業資安相關之報導;此外,資安專責人員則在監控到有發生即時危害之風險時,立即發送資安通知信以提醒同仁留意可疑信件,避免發生資安事件。