资讯安全政策
本公司为确保公司资讯之机密性、完整性及可用性,已依公司营运要求及相关法令规范,制定资安政策作为资讯安全管理之遵循方针,并藉由内部资安组织之运作以确实执行管理措施,另应建立员工资安风险意识,并藉由管理程序及安全防护技术,以达到资讯蒐集、处理、传送、储存及流通之安全目标。
资讯安全组织、成员及监督
- 资安委员会:本公司已设立资讯安全委员会,负责订定、审核资讯安全方针、资源分配及检视各项措施执行情况,另高阶管理阶层主管担任管理代表,负责资讯安全管理事项之协调及推动,并定期召开安会议及将向董事会提出报告。
- 执行秘书与成员:资讯处主管担任执行秘书襄助有关工作进行,并由行政、研发、法务、资讯及厂务等部门主管担任担任委员以参与资讯安全各项计画、措施之拟订与执行。
人力资源安全与资讯安全教育训练
- 本公司已经资讯安全纳入人员聘用变更或终止聘用流程,对所属员工进行管理,以确保其在职位上能执行各项相关资讯安全措施,降低可能的资讯安全风险。
- 本公司定期按员工所从事业务工作性质及当前资安环境所需安排教育训练,以建立员工资讯安全认知,提升公司资讯安全水准。
- 为加强资讯安全管理人力之培训及提升本公司资讯安全管理能力,本公司另安排对专责人员进行资讯安全专业课程训练或资讯安全职能训练。
- 不定期对员工发出资安防骇讯息公告,提醒同仁提高警觉。
资讯资产鑑别、风险评估及资源投入
- 为识别公司资产及确保所有资产依其重要性受到保护,本公司应定期进行资讯资产清点与分类,检视资讯资产之机密性、可用性及完整性,评估其可能存在的弱点与可能面临的威胁拟订风险处理计画持续追踪至完成改善为止。
- 为因应外部资安危害,本公司持续在既有防护机制外加强相关措施,包括採取全面、双重部署端点侦测与回应软体(EDR)及启动多因子认证(MFA)等各项方案。
资讯安全事件通报与应变
- 本公司已参加国内资安联防组识以取得及分享各项资安情资俾及时採取因应措施。
- 对于本公司资讯安全事件,各部门应在事件发生时按权责及事件分级机制进行通报、依已拟订之应变计画妥善採取措施,并将处理过程及结果妥予记录并向资安委员会报告。
政策调整与修订
本政策定期由资讯安全委员会依相关法令、技术及业务等最新发展现况进行修订,以确保合宜、适切及有效性。
执行情形
资安委员会已就当前资安政策及执行情况于2023年11月向董事会提出报告