資訊與網路安全風險管理架構

由營運長擔任資訊與網路安全管理團隊召集人,資訊與網路安全管理團隊包含具專業技術及知識之資訊單位、內部稽核單位、人事單位、法務單位及獨立客觀的主管人員(各事業單位及功能單位管理階層),負責統籌、計畫、執行及分析資通安全事件,且每年至少評估一次資通安全政策。

  • 資訊單位及法務單位負責辦理資通安全相關政策、計畫、措施及技術規範之研議,以及安全技術之研究、建置及評估相關事項。
  • 人事單位負責辦理人員進用安全評估。
  • 稽核單位會同資訊單位及各相關單位負責辦理資訊機密維護及稽核使用管理事項。
  • 法務單位負責專案合約之審查,並對資訊倫理之法令、規範,包括但不限於隱私權、正確性、所有權、使用權,做及時宣導與訓練教育。
  • 獨立客觀的主管人員(各事業單位及功能單位管理階層)負責辦理資料及資訊系統之安全需求研議、使用管理、保護等事項,以及對機密敏感資料可使用人員之授權建議、考核與管理。

資訊與網路安全政策

本公司採行必要及具成本效益之管理、作業及技術等安全防護手段、措施或機制,以確實掌握本公司各項資訊資產免遭不當使用、洩漏、竄改、竊取、破壞等情事,並於遭受惡意攻擊、破壞或不當使用等緊急事故發生時,亦能迅速作必要之應變處置,並在最短時間內回復正常運作,以降低事故可能影響及危害本公司業務運作之損害程度;並建立安全及可信賴之電腦化作業環境,以確保本公司電腦資料、系統、設備及網路安全之資通安全目標。詳細內容請參閱本公司官網公佈之『資通安全政策及管理辦法』。

資訊與網路安全管理

本公司已在頒布之『資通安全政策及管理辦法』擬定以下管理面向:

  • 資通安全組織及權責
  • 資訊資產分類與控管
  • 人員安全管理
  • 實體及環境安全管理
  • 通訊與作業管理
  • 存取控制
  • 系統開發與維護
  • 營運持續管理
  • 資通安全措施符合性之檢核

資訊與網路安全事件通報程序

110 年及截至 111 年 3 月底止,本公司並無因發生重大資通安全事件所遭受之損失或影響營運、商譽等之情事。