資訊安全政策
本公司為確保公司資訊之機密性、完整性及可用性,已依公司營運要求及相關法令規範,制定資安政策作為資訊安全管理之遵循方針,並藉由內部資安組織之運作以確實執行管理措施,另應建立員工資安風險意識,並藉由管理程序及安全防護技術,以達到資訊蒐集、處理、傳送、儲存及流通之安全目標。
資訊安全組織、成員及監督
- 資安委員會:本公司已設立資訊安全委員會,負責訂定、審核資訊安全方針、資源分配及檢視各項措施執行情況,另高階管理階層主管擔任管理代表,負責資訊安全管理事項之協調及推動,並定期召開安會議及將向董事會提出報告。
- 執行秘書與成員:資訊處主管擔任執行秘書襄助有關工作進行,並由行政、研發、法務、資訊及廠務等部門主管擔任擔任委員以參與資訊安全各項計畫、措施之擬訂與執行。
人力資源安全與資訊安全教育訓練
- 本公司已經資訊安全納入人員聘用變更或終止聘用流程,對所屬員工進行管理,以確保其在職位上能執行各項相關資訊安全措施,降低可能的資訊安全風險。
- 本公司定期按員工所從事業務工作性質及當前資安環境所需安排教育訓練,以建立員工資訊安全認知,提升公司資訊安全水準。
- 為加強資訊安全管理人力之培訓及提升本公司資訊安全管理能力,本公司另安排對專責人員進行資訊安全專業課程訓練或資訊安全職能訓練。
- 不定期對員工發出資安防駭訊息公告,提醒同仁提高警覺。
資訊資產鑑別、風險評估及資源投入
- 為識別公司資產及確保所有資產依其重要性受到保護,本公司應定期進行資訊資產清點與分類,檢視資訊資產之機密性、可用性及完整性,評估其可能存在的弱點與可能面臨的威脅擬訂風險處理計畫持續追蹤至完成改善為止。
- 為因應外部資安危害,本公司持續在既有防護機制外加強相關措施,包括採取全面、雙重部署端點偵測與回應軟體(EDR)及啟動多因子認證(MFA)等各項方案。
資訊安全事件通報與應變
- 本公司已參加國內資安聯防組識以取得及分享各項資安情資俾及時採取因應措施。
- 對於本公司資訊安全事件,各部門應在事件發生時按權責及事件分級機制進行通報、依已擬訂之應變計畫妥善採取措施,並將處理過程及結果妥予記錄並向資安委員會報告。
政策調整與修訂
本政策定期由資訊安全委員會依相關法令、技術及業務等最新發展現況進行修訂,以確保合宜、適切及有效性。
執行情形
資安委員會已就當前資安政策及執行情況於2023年11月向董事會提出報告