資訊安全政策
本公司建立「資訊安全,人人有責」之觀念,確保公司資訊之機密性、完整性及可用性,已依公司營運要求及相關法令規範,制定資安政策作為資訊安全管理之遵循方針,並藉由內部資安組織之運作以確實執行管理措施,另應建立員工資安風險意識,並藉由管理程序及安全防護技術,以達到資訊蒐集、處理、傳送、儲存及流通之安全目標。
資訊安全組織、成員及監督
- 資安委員會:本公司已設立資訊安全委員會,負責訂定、審核資訊安全方針、資源分配及檢視各項措施執行情況,另高階管理階層主管擔任管理代表,負責資訊安全管理事項之協調及推動,除定期召開資安會議並就執行情形每年一次向董事會提出報告。
- 執行秘書與成員:由專責資安主管擔任執行秘書襄助有關資安工作進行,並由行政、研發、法務、資訊及廠務等部門主管擔任擔任委員以參與資訊安全各項計畫、措施之擬訂與執行。
人力資源安全與資訊安全教育訓練
- 本公司已經資訊安全納入人員聘用變更或終止聘用流程,對所屬員工進行管理,以確保其在職位上能執行各項相關資訊安全措施,降低可能的資訊安全風險。
- 本公司定期按員工所從事業務工作性質及當前資安環境所需,安排資安意識、社交工程攻擊與防範教育訓練,以建立員工資訊安全認知,提升公司資訊安全水準。
- 為加強資訊安全管理人力之培訓及提升本公司資訊安全管理能力,本公司安排對專責人員進行資訊安全管理專業訓練課程及外部資訊安全職能訓練課程,辦理資訊人員資安內部訓練課程。
- 不定期對員工發出資安防駭訊息公告及郵件資安通告,提醒全公司同仁提高警覺,並提供同仁資安事件資訊及防範因應措施。
資訊資產鑑別、風險評估及資源投入
- 為識別公司資產及確保所有資產依其重要性受到保護,本公司每年定期進行資訊資產清點與分類,檢視資訊資產之機密性、可用性及完整性,評估其可能存在的弱點與可能面臨的威脅擬訂風險處理計畫持續追蹤至完成改善為止。
- 為因應外部資安威脅危害,本公司持續在既有防護機制外加強相關縱深防禦措施,以防毒、防駭、防漏三大資安防護主軸為目標,建置防火牆、入侵偵測防禦、防毒系統、、雙重部署端點偵測與回應軟體(EDR)及啟動多因子認證(MFA)等各項資安防護方案,以提升公司在防禦外部攻擊以及確保內部機密資訊防護的能力。
資訊安全事件通報與應變
- 本公司已參加國內資安聯防組識以取得及分享各項資安情資俾及時採取因應措施。
- 針對可能影響營運衝擊之事件,進行模擬演練;對於本公司資訊安全事件,各部門應在事件發生時按權責及事件分級機制進行通報、依已擬訂之應變計畫妥善採取措施,並將處理過程及結果妥予記錄並向資安委員會報告。
政策調整與修訂
本政策定期由資訊安全委員會依相關法令、技術及業務等最新發展現況進行修訂,以確保合宜、適切及有效性。
執行情形
本公司導入建立完整的ISO27001資訊安全管理系統,在2024年6月通過第三方驗證取得核發證書,證書之有效期限為2027年6月,從系統面、技術面、程序面降低企業資安威脅,建立符合客戶需求的資訊安全保護環境,並不斷地進行「計劃-實施-查核-行動」(PDCA, Plan-Do-Check-Act)循環以持續改善。