資通安全
INFORMATION AND COMMUNICATIONS SECURITY
資通安全
資通安全是現代企業運營的重要支柱,對於確保企業數據完整性、機密性及可用性至關重要。本公司已制定資安政策。規範資通安全方面的措施和策略,用以確保公司的業務運營穩定、合規並抵禦各類潛在的安全威脅。
資通安全政策
安全政策及標準:
- 制定並實施涵蓋所有業務範疇的資訊安全政策。
- 定期審查和更新安全政策,以應對新的威脅和技術發展。
員工培訓及意識提升:
- 定期進行員工資訊安全培訓,提升全體員工的資訊安全意識和技能。
- 舉辦資訊安全演習和模擬攻擊測試,增強員工應對資訊安全事件的能力。
資通安全管理架構
- 成立資訊安全小組,由財務長與公司治理主管擔任小組召集人,資訊安全部人員擔任資訊安全執行小組成員。負責訂定集團內部資訊安全政策、規劃暨執行資訊安全防護與集團子公司之資訊部門合作推動資安政策與落實。
- 至少每半年定期召開會議,檢視及決議重要資訊安全與資訊保護政策與計畫執行,依據風險影響的大小、機率,以及改善風險所需成本以設定優先序,採用PDCA方法循環「規劃」、「執行」、「查核」與「行動」,並建立資訊安全關鍵績效指標,確保實現集團資訊安全政策目標。
風險管理
- 定期進行風險評估,識別並評估可能的安全威脅和漏洞。
- 根據風險評估結果,制定相應的風險應對計劃和措施,降低風險的影響。
技術安全措施
網絡安全
- 部署防火牆、入侵檢測和防護系統,監控和防止未授權的訪問和攻擊。
- 使用虛擬專用網(VPN)保護遠程連接,確保數據傳輸的安全性。
數據保護
- 對敏感數據進行加密存儲和傳輸,確保數據在靜止和傳輸中的機密性。
- 定期進行數據備份,確保在發生數據損壞或丟失時能夠快速恢復。
系統安全
- 定期更新和修補操作系統、應用程序和設備的安全漏洞。
- 部署防病毒和反惡意軟件工具,監控和防止惡意軟件的侵害。
緊急應變及恢復
緊急應變計劃
- 制定詳細的資安事件應變計劃,涵蓋不同類型的資安事件應對流程。本公司資安事件通報程序如下,資安事件之通報與處理,皆需遵照本程序進行。
- 組建緊急應變小組,確保在發生資安事件時能夠迅速應變和處置。
災難復原計劃
- 制定災難恢復計劃,確保在發生重大事件後能夠快速恢復業務運營。
- 定期測試和演練災難恢復計劃,確保其有效性和可操作性。
合規與審計
法規遵循
- 確保資訊安全措施符合相關法律法規和行業標準。
- 定期進行內部審計,檢查資訊安全措施的合規性和有效性。
外部審計
- 聘請第三方機構進行資訊安全審計,評估並改進現有的安全措施。
- 根據審計結果,制定改進計劃和措施,持續提升資訊安全水平。
本公司將持續致力於提升資訊安全管理水平,通過完善的安全政策、先進的技術措施和有效的風險管理策略,確保企業信息資產的安全和業務運營的穩定。未來,我們將繼續關注資訊安全領域的最新動態,持續改進和優化我們的安全措施,以應對不斷變化的安全威脅。
2024資安教育訓練統計
| 資訊教育訓練課程名稱 | 對象 | 參與人數 | 訓練時數 | 涵蓋率 |
|---|---|---|---|---|
| 資訊安全宣導 | 全體員工(共62人) | 46 | 1 | 74% |
| 資安法遵查核重點—應辦事項 | IT部門(共2人) | 2 | 1 | 100% |
| 資安法遵查核重點—其他稽核重點 | IT部門(共2人) | 1 | 1 | 50% |
| 資安事件處理原則與業務持續核心概念 | IT部門(共2人) | 1 | 2 | 50% |
| 網路安全監控與分析 | IT部門(共2人) | 2 | 2 | 100% |
| 電子郵件社交工程介紹與防護 | IT部門(共2人) | 1 | 1 | 50% |
| 雲端應用安全實務 | IT部門(共2人) | 1 | 1 | 50% |
| 新興資安威脅與防護思維 | IT部門(共2人) | 1 | 1 | 50% |
註:涵蓋率=參與人數/應參與人數
資訊安全管理成效表
| 分類 | 2022 | 2023 | 2024 |
|---|---|---|---|
| 重大資訊安全事件發生件數 | 0 | 0 | 0 |
| 資料洩漏發生件數 | 0 | 0 | 0 |
| 因資訊洩漏致受影響的員工或客戶數(人) | 0 | 0 | 0 |
| 因資安事件被裁罰的金額(新台幣) | 0 | 0 | 0 |