資通安全管理
最近維護日期:112/03
| 項目 | 申報內容 |
|---|---|
| 敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。 | 本公司為確保資訊資產之機密性、完整性、可用性,提供予客戶之服務能持續完整,設置有「資訊安全委員會」,由管理階層擔任委員直接督導資訊安全管理制度之運作,並於107年成立「資訊安全部」作為公司資訊安全專責單位,設置副總經理層級之資安長負責掌管該部。資訊安全部為內控二道防線角色,負責監督與協助一道防線單位,此外各部門均設置資安人員擔任單位內資訊安全業務窗口,配合資產盤點、資訊作業持續、教育訓練等作業。 本公司依據國際資安管理框架導入來確保資訊安全堅實穩定,於105年首次取得ISO 27001國際標準認證,並持續維持有效;同時為提升對於個人資料保護管理能力,於106年導入個人資料管理制度,並於109年將驗證範圍擴大至總公司及分公司所有單位,精實對客戶權益之保護。為確保整體資訊安全、個資保護機制之有效性,從109年起持續聘請外部專業驗證公司進行成熟度評估,藉由獨立第三方評估結果,以公正客觀角度提供本公司精進治理之建議。 本公司因應資通安全管理的各個面向投入相當之資源,以持續強化本公司之資安防護及應變能力。其中包含資安預算及人員配置、人員專業資安教育訓練、強化資安作業熟練度、供應商資安管理、網路安全控管及存取控制安全、資訊資產管理、實體與環境安全管理、弱點偵測與追蹤修補、資安事件控管、參與資訊安全聯防、建立資安事故通報與管理運作機制、導入ISO22301框架的營運持續管理機制、推動異地備援中心的優化改善,並定期執行系統異地備援演練、資料回存測試、備份還原測試等演練。 |
| 列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。 | 本公司近年未發生重大資通安全事件及造成損失之資安事件。 |
| 資通安全風險對公司財務業務之影響及因應措施。 | 隨著網路犯罪集團的全球攻擊態勢以及新興科技的演變而引起的風險,經評估對於本公司財務業務之影響及因應措施後,將持續從各面向精進各項資通安全防護措施,以確保本公司業務所需資通環境安全無虞: (一)治理面向 除了藉由外部顧問公司的審查確認本公司資訊安全管理作業有效運作外,資訊安全部持續優化資訊安全管理制度(ISO 27001:2013),針對現有資訊安全內部控制文件進行確認與分析,建置全公司之資訊安全組織架構及應遵循之資安制度,於各部門設立資訊安全人員,將資訊安全管理作業推展至全公司。針對公司全員辦理資訊安全教育訓練與宣導,以加強資訊安全認知。一般同仁經由本公司員工學習網接受三小時的資訊安全教育訓練,且透過資安試題以驗證同仁的資安認知及觀念正確與否;資安專責單位同仁則透過自辦教育訓練課程、國內受訓課程、研討會及國外受訓課程等方式持續精進資安防護能力。 (二)技術面向 持續投入資訊安全預算強化資通安全防禦架構,並透過資通安全威脅情資之蒐集、設置24小時資安監控中心、網路監控、資訊安全評估檢測作業,掌握公司面臨的資通安全風險,對資安防護機制進行更正確且有效的規劃與投資,持續精進本公司的資通安全防護能力。另因政府機關、重要民生服務網站屢屢遭受駭客組織發動分散式阻斷(DDoS,Distributed Denial of Service)攻擊,導致部份機關網站停擺,為加強DDoS攻擊的防禦及應變能力,本公司於民國111年度進行真實DDoS攻擊演練,確認網站或重要主機承受DDoS攻擊的耐受度,並確認DDoS攻擊防護方案之有效性。 (三)資安險 面臨複雜的資訊安全風險環境,本公司自107 年度起持續投保電子商務及資訊安全保障責任保險,以降低重大資安事件發生後所遭受到的損失與公司承擔的風險。 |