公司治理
致股東報告書 | 董事會 | 功能性委員會 | 董事會成員專業背景及多元化政策及落實情形 | 公司組織圖 | 公司規章 | 董事會重要決議 | 受理股東提案之時間及方式 | 股東會開會通知 | 股東會議事手冊 | 股東會議事錄 | 股東會議案逐案表決結果 | 內部稽核組織與運作 | 利害關係人專區 | 獨立董事、監察人與內部稽核主管及會計師之溝通會議記錄 | 股權結構 | 公司治理、企業社會責任及企業誠信設置單位之運作及執行情形 | 董事會績效評估說明及執行情形 | 資訊安全風險管理
 
 

壹、資訊安全風險管理架構

• 本公司資訊安全管理架構以 ISO27001 為參考基礎,著眼企業風險管理,同時考量制度流程設計 (Process) 及資訊技術導入 (Technology) 進行整體規劃;為確保資訊安全管理體系之有效性,設置資訊科技管理審查會並成立資安作業規範管理小組,以推動及維持資訊安全管理體系之各類管理、執行與查核等工作之進行,且每半年召開一次管理審查會議,檢討資訊安全執行狀況與目標達成之成效。


• 採用PDCA(Plan-Do-Check-Act)資訊安全管理循環機制,制訂標準規範及作業程序,控制潛在之威脅及漏洞,規劃風險評估(Plan)、設計與建置控管機制(Do)、遵行覆核檢查(Check)及檢討改善(Act)等四大階段,以持續強化資訊安全管理機能。


貳、資訊安全目標與政策

一、資訊安全目標

本公司為降低資訊安全風險,維護機敏與完整資訊,進而提升整體資訊服務品質,訂定資訊安全政策,期能達到 建立資訊安全體系具備安全應變能力健全資訊發展環境等三大目標。

二、資訊安全政策

1.保護資訊資產之機密性、完整性與可用性,進而提供安全、穩定及高效率之整體資訊服務。

2.確保資訊資產之存取均經正式授權,以防止未經授權之存取、竄改、破壞或不當揭露。

3.建立資訊安全事件應變處理程序,以降低營運衝擊。

4.定期提供資訊安全認知與教育訓練,強化全體同仁對資訊安全之認同與防護知識。

5.落實資訊安全管理作業,並定期檢討執行成效,以維持資訊安全管理體系之有效性。

參、具體管理方案

資訊安全管理措施
類型 說明 相關作業
存取控制 人員存取內外部系統及帳號權限之管理措施 • 人員帳號權限管理與審核
• 人員帳號權限定期盤點
• 特殊權限帳號管理
• 操作行為軌跡記錄
外部威脅與內部弱點管理 外部威脅偵測、內部弱點、病毒防護與惡意程式之各項防護措施 • 網路規劃與威脅監控
• 外部網路連線管理
• 病毒防護與惡意程式檢測
• 主機/電腦弱點防護及更新措施
• 弱點掃描/滲透測試
應用系統安全 應用系統安全與服務中斷時之處置措施 • 應用系統開發資訊安全檢核
• 程式安全掃描
• 資訊備份措施、本異地備份機制
• 定期還原演練
人員與環境安全 機房安全維護與設備管理 • 機房進出人員管制
• 設備管理
• 機房環境管理

 
IR 工具
問答集
 
聯絡窗口
 
文件下載
 
電郵提示
 
RSS 服務
 
投資人關係行動版
Page top