資訊安全治理
為達成資訊安全管理目的,成立專責資訊安全管理組織,進行關鍵營運風險評估,針對公司內外部議題及關注者對於公司資訊安全之要求與期望。
制定資訊產管理程序,經由資訊資產識別來建立資訊資產清單,並加以分類分級、價值鑑別,透過定期複核來確保資訊資產得到適切保護。
為鑑別關鍵營運服務及其資訊資產的風險,透過以系統化方法進行風險評鑑,找出潛在的高風險並採取對策 (如 : 降低、避免、轉移風險、接受 ),以降低可能遭受的損害風險。
針對員工及往來廠商人員之資安管理及資安教育訓練訂定管理作業程序,以確保公司之資訊安全。
針對業務委外所實施之資訊安全保護管制措施 ,使 委外廠商了解應遵循之要項,同時界定與委外廠商之責任範圍,以維護本公司之資訊安全。
為降低資通安全事件所造成的衝擊與損害,於事件發生時能迅速通報、緊急應變處置,並儘速回復營運,進而從中學習,以達到預防再次發生的目標。
為降低環境因素之威脅與未經授權存取系統之機會,達成實體及環境安全控管之目的,訂定安全區域及設備安全管理規範,以確保資訊資產之安全。
為保護公司之資訊資產,降低未經授權存取之風險,制定存取及權限相關規定,以達成安全控管之目的。
應用系統程式開發、取得與維護等相關作業,如系統需求分析(含安全需求分析 )、系統設計、系統開發 、系統測試、修改、上線、維護、變更、原始碼之管控與儲存等,皆需依照制定之作業規範,以確保資訊之機密性、 完整性及可用性。
建立關鍵業務持續運作之遵循原則,識別關鍵業務及營運持續計畫之撰寫與演練,以確保遭受重大資通安全事件時,能在最短時間內提供最低可接受之服務,並迅速有效回復運作。
針對惡意軟體管理與控制訂定作業指引,以防範應用軟體及系統不受病毒、木馬或任何形式惡意軟體影響,造成資訊資產的損害或影響業務運作。
為確保電腦相關資訊系統及設備之可用性,及加強重要資料之保全,制定軟體及資料等資訊資產之備份管理作業規範。
為防止在網路環境下,系統或資料遭受可能的破壞,或非預期、非經授權的修改,確保網路作業之安全。
為避免未經授權之存取各項資訊系統及網路設備等帳號與通行密碼,制訂相關管理作業準則。
資訊安全運作
每年進行資訊資產鑑別及盤點,同時以系統化方法進行風險評鑑。
每半年針對重要營運系統進行系統還原演練,並依據演練結果進行檢討改進。
針對系統開發之程式碼進行源碼檢測,同時針對系統進行弱點掃瞄,以確保運行系統之資訊安全。
建置具高可用性之網路閘道器,透過網路防火牆建立存取控管機制。
端點設備安裝防毒軟體,並更新病毒碼至最新,持續強化端點設備防護。
取得 ISO/IEC 27001:2013 資訊安全管理系統認證,證書有效期間為2022/10/21~2025/09/29。
2024/08/27完成並通過2024年度資訊安全管理系統外部驗證稽核評審
完成 2 次以上弱點管理 ( 弱點掃描、原始碼掃描 )
