組織圖 部門職掌 經理人 公司治理主管 防範內線交易執行情形 提升企業價值計劃 董事會成員及重要管理階層接班規劃 資通安全管理 董事會評估會計師獨立性及適任性 經營績效與員工薪酬 誠信經營執行情形 風險管理政策

資通安全管理架構

本公司資通安全之權責單位為資訊部,設置資訊主管一名,及專業資訊工程師數名,訂定公司資訊安全政策,公司整體資安規劃、風險管理、推動並執行相關之資訊安全作業。

本公司鑑於資訊安全乃維繫各項服務安全運作之基礎,為確保人員、資料、資訊系統、設備及網路之安全,特訂定內部控制制度-電腦作業循環,已落實內控制度及維護資訊安全。

◆稽核小組:

1、稽核資安管理執行狀況,並提出稽核報告及相關建議事項。

2、不定期檢核資訊安全管理系統適用範圍內之各項控制措施之有效性與安全性。

3、定期檢討現行個資/資訊安全系統,評估與規劃風險可控制改善或可強化措施。

4、強化內部執行共識與監督內部推動執行成效。

5、檢視流程調整贅餘步驟或於合理運作之前提下限縮人員或系統權限,有效降低程序中相關風險。

◆事故應變組:

1、研擬營運相關之資訊安全制度及程序規範文件。

2、營運系統的建置、擴充、維護、監控、調整、備份、救援等工作。

3、日常營運相關軟、硬體、系統、資料庫管理作業。

4、資訊系統相關管制與權限對應調整,搭配資訊安全與個資保護之風險管控措施執行。

5、建立與進行個資/資安事故發生之事故通報機制。

6、事故發生後依計畫實施相關緊急應變處理程序之通報與執行。

7、營運持續計畫之規劃、評估與定期演練之實施。

◆營運小組:

1、營運持續計畫之規劃、評估與演練。

2、營運系統緊急應變處理程序之執行。

3、制定營運持續相關利害關係人聯繫方式、持續改進與追蹤、執行記錄等。

資安組織
稽核小組 事故應變組 營運小組

資訊安全政策

1、 資訊處理部門之功能及職責劃分作業

2、 系統開發及程式修改控制作業

3、 編製系統文書之控制作業

4、 程式及資料之存取控制作業

5、 資料輸出入之控制作業

6、 資料處理之控制作業

7、 檔案及設備之安全控制作業

8、 硬體及系統軟體之購置、使用及維護之控制作業

9、 系統復原計劃制度及測試程序之控制作業

10、資通安全檢查之控制作業

11、公開資訊申報作業管理作業

資訊安全具體管理方案

◆網路管理

系統所用的伺服器主機,皆位於內部虛擬網路中,透過防火牆保護,外部網路受隔離無法直接進入。內部系統及個人電腦皆安裝防毒軟體,可即時封鎖惡意病毒軟體。郵件為遠傳託管已有掃毒與阻擋垃圾信件服務。應定期查看國家資通安全會報等,資訊安全技術、服務網站以掌握最新網路安全訊息及防範措施。

◆系統管理

電腦系統應有充分權限管理,新進員工或權限異動皆依照電腦作業循環辦法執行設定權限,離職員工應依處理程序立即鎖定、停止或移除帳號及權限,以防範未經授權之始用。

◆資料存取

部門資料輸出系統輸出之報表應列出報表基本抬頭、列表人(或單位) 、日期…等,並經適當主管覆核後,始得發出。

為確保個資及公司機密外洩,資料大量取出皆需依照電腦作業循環辦法執行。

◆資料系統持續運作

為確保資料、系統、設備及網路通訊安全,建立資料備份機制,每天資料庫備份,每月NAS備份,每季異地備份,並定期執行災難還原演練測試。

透過內部檢視和評估其安全規章及程序,資訊部門依照作業執行本公司訂定之內部控制制度–電腦作業循環辦法,確保公司資料完整性及安全性,風險評估尚屬良好,近年度並無發現任何重大網路攻擊事件,公司資訊安全並無重大不利影響且無法營運之風險。

◆資產保全管理

機房門禁進出管制與電腦主機、伺服器等設備進出皆有記錄存查,並備有消防設備確保機房安全。

資訊機房設置不斷電系統(UPS),以保障供電異常時資訊設備能持續運作。

資通訊相關設備皆造冊管理,並定期進行資產盤點,強化資訊安全。

◆病毒防護

伺服器均安裝防護軟體。

端點電腦病毒碼採自動更新方式,亦定期查看防毒軟體更新狀況。

全電腦設備安裝防毒軟體,病毒碼採自動更新,降低病毒感染風險。

資安人員不定期抽查各項防護軟體病毒碼更新及掃描紀錄抽查,確保設備安全穩定運行。

作業系統應採自動更新,以維持系統安全性。

◆漏洞管理

不定期弱點掃描進行漏洞填補並追蹤改善。

定期查閱資安組織及社群相關資安通報,檢視內部軟硬體版本是否有暴露風險,進而更新改善。

其他相關規定:

(一)資訊帳號申請及異動,須填寫「帳號需求管制表」,送交資訊部辦理。

(二)電腦資料及設備,不得任意破壞、外借或不正當修改,以維護資訊安全。

(三)禁止使用非法或無授權之軟體。

(四)電腦作業結束或長時間不使用時,應登出或關機,以免資料機密外洩,或為他人所破壞。

(五)電腦設備之擺放位置,除以方便為原則外,應遠離茶水或潮溼地點,以保障設備安全。

(六)電腦使用者離職或職務異動時,由資訊部衡量資料相關性作適當處置。

(七)電腦設備無法正常作業時,使用者應立即通知資訊組檢查或維修。

緊急通報程序

當發生資訊安全事件時,發生單位應立即通報資訊組,判斷事件類型,並找出問題點,即時依事件處理。

114年落實情形:

一、資訊安全宣導

每月會定期宣導

請各位同仁定期更新系統密碼,以確保資訊安全性:

• 為預防過度簡單易被猜測,增加密碼複雜度選項,並要求同仁定期更換系統密碼,確實維護帳號密碼的安全

• 避免使用過於簡單的密碼如與帳號相同,生日訂婚結婚日,個人手機號碼、英文單字或序列文數字。

• 請使用與其他網路金融往來網站 (如網路銀行,社群網站,購物或付費網站等) 不同的密碼。

• 於每次連線完畢時請登出您的帳號以減低資訊安全風險。

• 請勿在系統登入時選擇記憶個人帳號密碼。

二、依本公司「9-2 PE 電腦作業循環」規定,員工應避免透過公司網路收發或下載與業務無關或來路不明之郵件或非法軟體,以避免佔用公司網路資源,及增加電腦病毒感染機會。

「Windows安全性」應用程式 隨時留意工作列中「Windows安全性」應用程式狀態為「帶綠色圓圈勾勾(不須採取動作)」;若為其他狀態,請進入確認異常原因,依指示操作。

本公司於114年經BSI評審小組彙總整體評審驗證,並於114年12月24日取得ISO/IEC27001:2022系統驗證,BSI發證日期為115年1月6日,目前證書期間為115/1/6至118/1/5。

除強化安全防護措施(威脅情報、組態管理及雲端服務等日常管理),更以PDCA手法落實資訊安全管理工作推展,全面建構公司資訊安全管理體系的”機密性”、 “完整性”、“可用性”, 並依「事前預防」、「事中應變」、「事後復原」等不同面向的管理規劃持續強化資訊安全管理。

公司正在規劃設置資訊安全委員會。