資訊安全風險管理

• 
• 
• 
• 

資訊安全管理辦法
一、目的
配合國家資通安全政策、強化公司內部資訊安全管理，即確保資訊的機密性（只有經過授權的人才能存取資訊）、完整性（保證資訊及其處理方法的準確性和完整性）與可用性（確保經過授權的用戶在需要時可以存取資訊並使用相關資訊資產），保護資訊資產免遭不當使用、洩漏、竄改、破壞等情事，確保資訊蒐集、處理、傳送、儲存及流通之安全，特定此管理辦法規範。

二、說明
資訊（有形或無形的）的資產，舉凡資訊資產、實體資產、軟體資產、服務資產、文件、人員等皆是；安全則是利用主動或被動的各種方法，來保護或保存一個環境，使其活動的進行不受干擾。因此資訊安全即為了避免因人為疏失、蓄意或自然災害等風險，運用一整套適當的控制措施，包括政策、實踐、步驟、組織結構和軟體功能等，來確保本部的資產受到妥善的保護。

三、組織
主管單位為電腦中心。
稽核單位為稽核室。


資訊安全政策
一、 資訊安全實施內容
(一)人員管理及資訊安全教育訓練。
(二)電腦系統安全管理。
(三)網路安全管理。
(四)系統存取控制。
(五)系統發展及維護安全管理。
(六)資訊資產安全管理。

二、資訊安全風險管理架構
(一)、本公司資安專責單位為電腦中心，已設置資安主管乙名，以及數名資安專責人員，負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實，定期檢討資安政策，並定期向董事會報告。
(二)、本公司稽核室為資訊安全監理之督導單位，該室設置稽核主管乙名，負責督導內部資安執行狀況，若有查核發現缺失，即要求受稽查單位提出相關改善計畫與具體作為，且定期追蹤改善成效，以降低內部資安風險。

具體管理方案
一、網路安全:導入先進技術執行電腦掃描及系統及軟體更新
二、裝置安全:建置機台入廠掃毒機制，防止內含惡意軟體的機台進入公司。
並制定有資安設備相關報廢程序。
三、應用程式安全:設有權限等級及密碼檢核機制。並設有程式修改書面申請機制。
四、供應鏈資訊安全:要求電腦資訊軟/硬體供應商簽屬保密條款，並定期傳達公司最 新資安規定及注意事項。
五、資料安全保護強化:文件及資料加密控管。並定期舉辦資安教育訓練，提升員工資安意識。

投入資通安全管理之資源
一、專責人力:設有專職之企業組織「電腦中心」，112年設有資安主管1名和資安人員2名，負責公司資訊安全規劃、技術導入與相關的稽核事項，以維護及持續強化資訊安全。
二、稽核監督成果:112年公司通過內外部資安稽核，無重大缺失。
三、客戶滿意:無重大資安事件，無違反客戶資料遺失之投訴案件。
四、教育訓練：112年共舉辦1次全公司之資訊安全教育訓練課程，資安專責人員亦完成上相關資訊安全教育訓練及考核。
五、資安公告:112年製作超過3份資安公告，傳達資安防護重要規定與注意事項。
六、定期資安匯報:112年資安主管列席董事會1次，報告當年度資安執行現況與成果。