資通安全攸關企業的營業秘密能否完善保護,本公司制定資訊安全政策,對內亦採取具體防範措施以落實資通安全:由資訊部成立資通安全小組,制定資通安全政策暨執行計畫,並推動落實與檢討改善,每季向資通安全管理代表報告資通管理現況;另外由稽核室成立內部稽核小組負責稽核,每年定期執行兩次抽核資通安全政策執行情形,追蹤改善計畫執行成效。2024年資通安全小組設有2人,內部稽核小組設有1人,期間召開1次資通安全會議,年內並未發生重大資通安全違規事件。
|
資通安全為重大風險議題之一,由董事長為資通安全管理委員會召集人,授權資訊部主管為管理代表,推動資通安全管理及運作、重要資訊保護措施、災害演練與執行計畫等。若有特殊事件或措施,將提報風險管理委員會執行相關計畫。
於2021年規劃導入ISO 27001 Information Security Management System(ISMS),確認導入驗證範圍後將進行落差分析與修正,包含系統與管理面,執行項目包含風險評估、弱點修復、安全防護、風險驗證、資產清查及風險評鑑及人員教育訓練等工作項目,並完成相關文件建置,並已於2022年3月2日由國際驗證公司BSI核發通過認證證書,證書效期至2025年3月1日止。 |
|
資通安全組織架構
| 制定管理辦法 |
| 為健全資通安全管理制度,於2022年3月完成ISO 27001認證,藉由國際資安管理標準落實相關管理制度,以提升同仁資通安全意識,建立正確的電腦網路使用準則,已分別制定資政策及相關管理程序書如下:資通安全政策、資通安全組織與目標管理程序書、資訊資產管理程序書、資通安全風險評鑑、實體安全、作業安全、存取控制、資通安全事件管理等22本程序書及說明書。 |
| 資訊技術 |
| 公司在資通安全防護上,建立軟體與硬體多層次防護,包含帳號複雜性密碼驗證、主機與用戶端防毒、上網行為管理、惡意網站防護、防火牆阻擋、主機資料備份、資料加密、網路IP管理等。 |
| 推廣與改善 |
| 健全資通安全管理機制,提升同仁資通安全觀念與強化自我保護意識,每年至少辦理1次資通安全管理審查會,針對年內相關資安制度與事件進行監督與管制,另每年至少舉行資通安全宣導3小時以及資通安全事件通報演練1次,2023年共計3場次,包括「個資保護及智慧型手機安全防護」、「AI應用實務及資安、個資防護」與「資安教育訓練~不讓駭客抓住你的手」等教育訓練。另外2023年執行4次電子郵件社交工程演練,員工遭釣魚成功機率為9.13%,以提升公司人員資安意識。 |
| 加入資安聯防機制 |
| 為強化主動防禦策略,於2022年9月加入TWCERT/CC資安聯盟,不定期透過該平台進行網駭情資交換,期藉由該聯防機制,擴大公司資安防禦廣度。 |
資通安全事件通報與應變流程圖
2023年資安教育訓練統計
註1:ISO 27001主導稽核員認證的證照效期為三年,2022年共2人受訓,2023年共1人受訓。2023年IT部門ISO 27001主導稽核員取證率為100%。
註2:全體員工/高風險員工或特定部門,以課程當月總人數計。
資訊安全管理成效表
※以上內容取自ESG報告書
