2021-12-20
資訊安全風險管理架構、資訊安全政策及管理方案

資安風險評估分析及其因應措施:本公司參考COSO 架構,衡量控制環境、風險評估、控制活動、資訊及溝通、監督等要素,建置企業的營運管理機制,並依據『公開發行公司建立內部控制制度處理準則』,概括風險管理及內部監控之功能,僅此敘明資訊安全風險管理機制如後:

(一) 資訊安全風險管理架構

  1. 本公司成立跨部門資訊安全委員會由總經理擔任總召集人,研發處長擔任管理代表並兼任資訊安全長及個資保護長。
  2. 已制定發行資訊安全管理目標及政策、個人資料管理政策,並定期檢討修訂。
  3. 定期召開管理審查會議檢討資訊安全管理制度及個人資料管理制度執行情形。

(二) 資訊安全控管措施

  1. 訂定期盤點資訊資產及個人資料清冊,依資訊安全及個人資料風險評鑑進行風險管理,落實各項管控措施。
  2. 每年辦理資訊安全及個人資料保護教育訓練及宣導作業,新進人員皆須簽定資通安全保密協定。
  3. 委外廠商須簽定保密協議,以確保使用本公司的提供資訊服務或執行相關資訊業務者,有責任及義務保護其所取得或使用本公司之資訊資產,以防止遭未經授權存取、擅改、破壞或不當揭露。
  4. 重要資訊系統或設備已建置適當的備份、備援或監控機制並定期演練,以維持其可用性。
  5. 個人電腦均安裝防毒軟體且定期確認病毒碼之更新,並禁止使用未經授權的軟體。
  6. 要求同仁帳號、密碼與權限應善盡保管與使用責任並定期換置密碼。
  7. 已制定資訊安全事件的回應及通報標準程序,由資訊安全緊急應變小組負責資訊安全事件處置,以適當對資訊安全事件做即時處理,避免損害擴大。
  8. 建立業務持續運作管理機制,並定期測試演練,維持其適用性。
  9. 每年定期實施內部稽核,以確保資訊安全、個資保護管理制度之有效性。

(三) 資安風險管理與檢討施

  1. 本公司已通過ISO27001(資訊安全管理制度)、ISO27701(個人資訊管理制度)第三方公正單位之稽核驗證。
  2. 透過ISO27001(資訊安全管理制度)導入,強化資訊安全事件之應變處理能力,保護公司與客戶資訊資產之安全。
  3. 透過ISO27701(個人資訊管理制度)導入,了解公司保管之個人資料可能面臨之風險,遵循各國個資保護法規之要求,以保護公司與客戶個人資料之安全。
  4. 將資訊安全及個資保護檢查控制作業,列為年度稽核項目,稽核單位每年度至少進行一次稽核;且公司每年度依據內部控制制度自行檢查作業,將總結內部控制實施成效提報董事會覆核確認,並依據評估的結果出具內部控制制度聲明書。