• 

• 公司治理-資訊安全政策

  INFORMATION SECURITY

目的:

為確保本公司之資料、資訊、設備、人員、網路等重要資訊資產之機密性、完整性，衡酌本 公司業務需求，特訂定本公司「資訊安全政策」。

資訊安全控制措施：

• 本公司依「公開發行公司建立內部控制度處理準則」第九章「電腦資料之處理循環」之規定制定相關內部作業規定,以降低新興資訊科技應用以及環境變遷所帶來未知的資安威脅風險。
• 本公司依「ISMS-W-001一般資訊設備安全管理作業標準書」，讓同仁於日常工作時有一明確指導原則，所有同仁皆有義務積極參與推動資訊安全管理政策，以確保本公司所有職員、資料、資訊系統、設備及網路之安全維運，並期許全體同仁均能了解、實施與維持，以達資訊持續營運的目標。
• 確保本公司資訊作業可正確、完整、可用的持續營運。
• 成立資訊安全管理小組，確認本公司資訊安全管理運作之有效性。
• 建立資訊資產清單，依資安風險評鑑進行風險管理，落實各項管控措施。
• 確保本公司重要資訊之機密性，落實資料存取控制，資訊須經授權人員核可方能存取，不得逾越。
• 由總經理擔任召集人成立資訊安全管理小組，每週定期召開總經理親自主持的資訊安全會議，針對資訊及安全相關議題即時討論匯報。
• 針對重要系統，導入國際產業標準合規認證例如 PCIDSS，由外部顧問協助，確認資訊作業流程符合產業標準，並取得正式合規認證。
• 採用專業軟體及服務商，定期進行內外部弱點掃描及滲透測試，針對掃描出的弱點以最快的速度進行更新，避免產生危害資訊安全事件。
• 公司加入 TWCERT/CSIRT 資安聯盟(台灣電腦網路危機處理暨協調中心)，與聯盟成員共享資安相關訊息及最新消息，提升國家整體資安聯防能量，共同維護台灣整體網路安全。
• 建立自動化監控系統，隨時記錄系統運行狀態，並收集相關紀錄，有異常發生時會即時發出告警給相關人員，視嚴重情況最高會通知到總經理，確保系統發生狀況時能有最迅速的處理。
• 不定期進行資訊安全宣導，並進行相關測驗，確保同仁能隨時保有資安意識與相關知識。

資訊安全控制措施：

• 舉凡本公司所有同仁及與本公司有業務往來之廠商、訪客等，皆應遵守本政策。

資訊安全發展藍圖

資訊安全治理制度

資安通報流程