公司治理專區

董事會成員

委員會成員

內部稽核

資訊安全風險管理

1.目的

本公司為展現貫徹資訊安全管理的決心,確保所有資訊與資訊系統獲得適當保護,依照
ISO/IEC 27001:2013標準之要求建立、記載、實施及維護資訊安全管理系統,並持續改進系統的有效性。


2.資通安全政策

本公司為展現貫徹資訊安全管理的決心,確保所有資訊與資訊系統獲得適當保護,依照
ISO/IEC 27001:2013 標準之要求建立、記載、實施及維護資訊安全管理系統,並持續
改進系統的有效性,資通安全政策如下:

(1)對於本公司所儲存或傳遞之資訊採取適當之保護與防範措施。
(2)降低發生毀損、失竊、洩漏、竄改、濫用與侵權等資通安全事件時之衝擊。
(3)持續提升各資訊服務系統所有作業之機密性、完整性與可用性,確保公司永續經營。
(4)符合或高於資安相關法令、法規及客戶資安要求與檢測,達到業務持續運作安全。


3.資訊安全管理責任

應建立資訊安全管理組織,負責推動、協調及督導下列資訊安全管理事項:
(1)資訊安全政策之核定、宣導及督導。

(2)資訊安全責任之分配及協調。
(3)宣導符合各項資訊安全目標、資訊安全政策及法律規範下之責任,以及持續改進之
     需求。

(4)充分提供資源以建立、實作、運作、監視、審查、維持與改進資訊安全管理系統。
(5)決定接受風險與可接受風險等級的準則。
(6)資訊安全稽核計劃制定、資訊風險評估及不定期之資訊安全測試。
(7)施行資訊安全管理系統之管理審查。
(8)鑑別資訊安全管理制度之內外部利害關係人,考量其對本公司之資訊安全需求與期
     望,並決定內外部所需之溝通。
(9)資訊安全事件之檢討及監督,考量可能影響資訊安全管理制度之內外部議題。
(10)每年實施資訊安全相關教育訓練與宣導,評估所提供資訊安全教育訓練之有效性。
(11)其他資訊安全事項之核定。


4.資通安全風險管理架構

為有效推動與辦理資訊安全管理制度之各項工作,特成立資訊安全管理組織,以擬訂本
公司各項資訊安全發展之方向及策略,使資訊安全管理制度持續穩健運作。資訊安全推
動小組組織架構如下:

(1)資訊安全推動小組:本公司資訊安全管理決策組織。由總經理擔任召集人,綜理小組
     事務。
(2)資訊安全管理小組:由資管中心主管擔任組長,負責本公司資訊系統之資訊安全管理
     制度規劃、建立、實施、維護、審查與持續改善,並將資訊安全相關議題於資訊安全
     推動小組提報。協調資訊安全查核小組稽核時程確定,監督稽核執行與矯正預防改善
     措施。
(3)緊急應變小組:此小組為臨時編組,當發生資訊安全爭議時,從法務、公關、品保及
     資訊等不同面向,進行應變處理。

(4)查核小組:由資訊安全查核專責人員擔任,協調及分派資訊安全管理制度內部查核工
     作。


5.管理審查

本公司管理審查作業由資訊安全管理小組執行,管理階層應每年至少執行乙次管理審查
會議以持續確保資訊安全管理系統運作之適切、充足與有效,審查範圍包括資訊安全管
理系統改進方案與變更需求之評估,審查結果應予詳實記錄並妥善保存。因臨時或緊急
性之資安重大事件,得由各部門主管提請召集人召開。


6.資訊安全內部稽核

管理階層應確保定期或不定期進行安全評估或稽核作業,以檢討控管目標、措施與程序
是否合乎相關標準、法令規章或資訊安全需求,並依預期規劃有效執行與維持,以持續
增進資訊安全管理系統的有效性。


7.資訊安全管理系統之改善

 (1)持續改善

  • 本公司應透過內外部稽核結果、資訊安全事件分析、矯正措施及管理審查等機制,持
    續增進資訊安全管理系統之有效性。

 (2)矯正措施

  • 本公司應採取適當的控管措施,以減少資訊安全管理系統建置與運作過程中所發現之
    不符合事項,並防止再度發生。矯正措施之作業程序如下:

 A. 識別各項不符合事項。
 B. 判定各項不符合之原因。
 C. 評估所需採取之措施,以確保各項不符合事項不再重複發生。
 D. 決定及實作所需之矯正措施。
 E. 記錄及審查所採取之矯正措施的有效性。


8.資訊安全政策指導與覆核

本資訊安全政策每年至少評估內容乙次,檢討覆核與修訂,以符合內外部利害關係團體
的需求與期望,確保資訊安全實務作業之有效性。


9.資訊安全公告實施與宣達

本政策經本公司資訊安全推動小組審議通過後公告施行,並揭露於公司內網、官網及年
報上,修正時亦同。


10.投入資通安全管理之資源

本公司已導入ISMS資訊安全管理系統,並取得ISO 27001(效期至2025年10月31日)
及CNS27001(效期至2025年10月31日)資訊安全認證,強化資訊安全事件之應處能力
,保護公司與客戶之資料安全。