資通安全政策

(一)  資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源:

資訊安全2023年已列為本公司的重大主題方針,我們特別重視資訊安全管理及資安風險管控,因應管理方針制定下列項目 :

1.資訊安全政策

「維護公司整體資訊安全,強化各項資訊資產之安全管理,確保其具機密性、完整性、可用性與適法性,避免發生人為疏忽、蓄意攻擊及天然災害時影響    公司作業或損及公司權益,確保業務持續營運」。

2.資訊安全策略

  1. 善用數位科技,持續創新,秉持永續經營理念,不斷精進資訊安全制度與強化防禦應變能力,全面導入資訊安全管理機制,定期檢視,快速應變資安風險,確保業務持續營運不中斷。
  2. 重視資訊相關系統、設備與網路之安全,定期執行資訊安全演練與教育訓練,提升同仁對於資安的意識及警覺性,將資訊安全融入日常業務中。
  3. 善盡顧客資料隱私保護承諾,明確規範蒐集、處理及取用等管理措施及權限,保障顧客個人資料安全。

3.資訊安全組織

為落實資訊安全管理,公司成立資訊安全組織,成員包含公司高階主管,負責推動、協調及督導下列資訊安全管理事項 :

  1. 資訊安全政策之核定及督導
  2. 資訊安全責任之分配及協調
  3. 資訊資產保護事項之監督
  4. 資訊安全事件之檢討及監督
  5. 資訊安全事項之核定
  6. 定期召開資訊安全會議

2023年依金管會要求,設置1名資安專責主管及1名資安專員。

2023年資安專員取得2張資安工程師證照。

4.資訊安全管理與執行

本公司針對資安風險管控,從系統面、網路面、資料面及設備面,積極規劃   部署資訊安全措施,改善資訊安全環境,降低資訊風險。包含以下項目:

  1. 系統帳號管理與稽核
    2023 年我們加強系統密碼規則,增加密碼複雜度及長度10碼以上
  2. 系統資料存取權限管控與稽核機制
  3. 系統原始碼管理與檢測
    資訊系統之相關原始碼,應依機密等級給予適當安全屬性,不同安全屬性之文件應分開,並以相對應的安全措施加以保存。委外或自建的系統程式碼均通過程式原碼檢測驗證,符合國際認證標準。於2023年對內外部系統進行資安原始碼掃描,已將問題修正完畢。
  4. 網路安全
建置網路安全防護設備(防火牆),郵件過濾系統,防毒防護系統,並依業務所需設定安全存取權限。

2023年新增下列安全措施

建置系統主機弱點掃描平台。
增設防火牆連線網址過濾功能(URL Filtering),加強網頁連線時的安全自動判斷及過濾,提高網路使用安全。
建置VPN雙因子認證機制,降低VPN連線時的風險。
  1. 備份與災害復原
    為確保集團資訊系統之資料完整與正確,訂定備份與災害復原計畫,定期演練確保發生災害或儲存媒體失效時,可迅速回復正常作業。
    於2023年實施1次災害備援演練,RTO為1小時,RPO為24小時,順利完成,並留文件備查。
  2. 電子郵件管理
使用公司郵件需遵循電子郵件管理辦法,對帳號、使用規則及郵件使用安全進行管理。

5.員工資安訓練宣導

本公司對新員入職時會進行基礎的資訊安全教育訓練,並且會定期對在職人員進行資安宣導及資安演練,加強資安意識。當發生資安事件時,進行資安通報,提高員工防範外部攻擊的意識,為公司經營提供資訊安全保障。

2023進行項目如下:

  1. 4次資安宣導
  2. 進行社交工程演練,合格率97.2%。
  3. 進行年度資安教育訓練,完成課程853人,總訓練時數498小時。
  4. 增設新員資安教育訓練課程。

            
(二)最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及   因應措施:
   本公司2023年及截至年報刊印日止所發生之資安事件,對公司的整體營運無重大影響。

我要留言

歡迎您留下聯絡資訊,或撥打顧客服務專線
0809-068-588,我們將由專人與您聯繫

客服中心