• 公司治理-資訊安全政策

    INFORMATION SECURITY

目的:

為確保本公司之資料、資訊、設備、人員、網路等重要資訊資產之機密性、完整性,衡酌本 公司業務需求,特訂定本公司「資訊安全政策」。

資訊安全控制措施:

  • 本公司依「公開發行公司建立內部控制度處理準則」第九章「電腦資料之處理循環」之規定制定相關內部作業規定,以降低新興資訊科技應用以及環境變遷所帶來未知的資安威脅風險。
  • 本公司依「ISMS-W-001一般資訊設備安全管理作業標準書」,讓同仁於日常工作時有一明確指導原則,所有同仁皆有義務積極參與推動資訊安全管理政策,以確保本公司所有職員、資料、資訊系統、設備及網路之安全維運,並期許全體同仁均能了解、實施與維持,以達資訊持續營運的目標。
  • 確保本公司資訊作業可正確、完整、可用的持續營運。
  • 成立資訊安全管理小組,確認本公司資訊安全管理運作之有效性。
  • 建立資訊資產清單,依資安風險評鑑進行風險管理,落實各項管控措施。
  • 確保本公司重要資訊之機密性,落實資料存取控制,資訊須經授權人員核可方能存取,不得逾越。

投入資通安全管理之資源:

資訊安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:

  • 專責人力:設有專職之「資訊安全處」,負責公司資訊安全規劃、技術導入與相關的稽核事項,以維護及持續強化資訊安全。
  • 認證:通過PCIDSS認證,相關資安稽核無重大缺失。
  • 客戶滿意:無重大資安事件,無違反客戶資料遺失之投訴案件。
  • 教育訓練:全體員工皆完成一次資訊安全教育訓練;年度執行一次社交工程釣魚郵件測試。

資訊安全發展藍圖

資訊安全治理制度

資安通報流程