资讯安全政策
本公司建立「信息安全,人人有责」之观念,确保公司信息之机密性、完整性及可用性,已依公司营运要求及相关法令规范,制定资安政策作为信息安全管理之遵循方针,并藉由内部资安组织之运作以确实执行管理措施,另应建立员工资安风险意识,并藉由管理程序及安全防护技术,以达到信息搜集、处理、传送、储存及流通之安全目标。
资讯安全组织、成员及监督
- 资安委员会:本公司已设立信息安全委员会,负责订定、审核信息安全方针、资源分配及检视各项措施执行情况,另高阶管理阶层主管担任管理代表,负责信息安全管理事项之协调及推动,除定期召开资安会议并就执行情形每年一次向董事会提出报告。
- 执行秘书与成员:由专责资安主管担任执行秘书襄助有关资安工作进行,并由行政、研发、法务、信息及厂务等部门主管担任担任委员以参与信息安全各项计划、措施之拟订与执行。
人力资源安全与资讯安全教育训练
- 本公司已经信息安全纳入人员聘用变更或终止聘用流程,对所属员工进行管理,以确保其在职位上能执行各项相关信息安全措施,降低可能的信息安全风险。
- 本公司定期按员工所从事业务工作性质及当前资安环境所需,安排资安意识、社交工程攻击与防范教育训练,以建立员工信息安全认知,提升公司信息安全水平。
- 为加强信息安全管理人力之培训及提升本公司信息安全管理能力,本公司安排对专责人员进行信息安全管理专业训练课程及外部信息安全职能训练课程,办理信息人员资安内部训练课程。
- 不定期对员工发出资安防骇讯息公告及邮件资安通告,提醒全公司同仁提高警觉,并提供同仁资安事件信息及防范因应措施。
资讯资产鑑别、风险评估及资源投入
- 为识别公司资产及确保所有资产依其重要性受到保护,本公司每年定期进行信息资产清点与分类,检视信息资产之机密性、可用性及完整性,评估其可能存在的弱点与可能面临的威胁拟订风险处理计划持续追踪至完成改善为止。
- 为因应外部资安威胁危害,本公司持续在既有防护机制外加强相关纵深防御措施,以防毒、防骇、防漏三大资安防护主轴为目标,建置防火墙、入侵检测防御、防毒系统、、双重部署端点侦测与响应软件(EDR)及启动多因子认证(MFA)等各项资安防护方案,以提升公司在防御外部攻击以及确保内部机密信息防护的能力。
资讯安全事件通报与应变
- 本公司已参加国内资安联防组识以取得及分享各项资安情资俾及时采取因应措施。
- 针对可能影响营运冲击之事件,进行模拟演练;对于本公司信息安全事件,各部门应在事件发生时按权责及事件分级机制进行通报、依已拟订之应变计划妥善采取措施,并将处理过程及结果妥予记录并向资安委员会报告。
政策调整与修订
本政策定期由信息安全委员会依相关法令、技术及业务等最新发展现况进行修订,以确保合宜、适切及有效性。
执行情形
本公司导入建立完整的ISO27001信息安全管理系统,在2024年6月通过第三方验证取得核发证书,证书之有效期限为2027年6月,从系统面、技术面、程序面降低企业资安威胁,建立符合客户需求的信息安全保护环境,并不断地进行「计划-实施-查核-行动」(PDCA, Plan-Do-Check-Act)循环以持续改善。