資訊安全與風險管理


1.資訊安全政策
✓強化人員認知:辦理資訊安全教育訓練,推廣人員資訊安全之意識與強化其對相關責任之認知。
✓避免資料外洩:保護本公司業務活動資訊,避免未經授權的存取與修改,確保其正確完整。
✓落實日常維運:定期進行內部與外部稽核,確保相關作業皆能確實落實。
✓確保服務可用:確保本公司重要資訊系統維持一定水準的系統可用性。

2.資訊安全風險管理架構
✓資訊安全管理委員會由本公司總經理召集成立,資訊單位負責主導與規劃,各業務相關單位配合執行,以確認本公司資訊安全管理之有效性。
✓定期(每季)召開會議檢討執行情形並向董事會進行呈報。
✓本公司資訊安全架構如下


3.具體管理措施
✓建立門禁控管、登入系統身份驗證、存取授權等稽核機制。
✓公司定期執行資訊安全宣導作業(含線上學習課程),強化員工的資安風險意識。
✓員工電腦皆需安裝資安保護軟體,非經申請,文件無法攜出。
✓非經過安全認證的網站會被封鎖,降低電腦中毒與文件外洩疑慮。
✓私人筆電或手機無法連結內部網路,以防止資料外洩之可能。
✓透過應用程式正向白名單來管控非法授權軟體,非經申請之軟件,無法安裝。
✓內部系統皆需安裝防毒軟體、更新原廠安全性修補程式並由資訊單位定期進行弱點掃描,工程演練、系統防護…等,有效性查核。
✓重要資訊系統或設備皆建置叢集架構與監控機制以維持其可用性。
✓依據硬碟資料保護規範進行相對應的快照與備份並於每年年底進行相關還原演練之確認。
✓建立本地與異地雙備援機制,避免天災或其他威脅造成系統毀損,以保全系統與資料之完整性。
✓優先使用自動化腳本來偵測、分析與回應異常處理並通報擔當者進行相關程序之確認。
✓定期盤點資訊資產清單並依資安風險評鑑進行風險管理,落實各項管控措施。
✓建立資安聯防機制、完善資安防護、培訓資安人才,保障公司的持續經營。
✓每年檢視資安防護措施及規章,關注資安議題及擬定因應計劃,以確保其適當性及有效性。

4.各年度執行情形
113年度執行情形
112年度執行情形
111年度執行情形
110年度執行情形

5.ISO27001資訊安全管理系統
本公司已於2023年11月在獨立驗證機構TÜV NORD專業審視下,通過ISO/IEC 27001:2022資訊安全認證的國際標準要求,未來將持續進行更多項資訊安全認證,強化公司資訊安全管理機制與防禦能力,實踐良好公司治理與企業社會責任,並提高全球客戶對建準資訊安全的信任。


ISO27001證書連結
我接受 本網站使用cookies以提昇您的使用體驗及統計網路流量相關資料。繼續使用本網站表示您同意我們使用cookies。我們的 隱私及Cookies政策 提供更多關於cookies使用及停用的相關資訊。