資通安全保護組織
為促進資通安全防護,本公司設定「資通安全保護組織」為資安專責單位,配置有資安主管一名,組員兩名,負責資通安全業務,每年須進行至少一次以下資通安全活動,並將成果彙整於管理審查會議後呈於董事會報告:
- 資安宣導
- 資通安全教育訓練
- 權限清查
- 演練
- 稽核
- 管理審查會議
本公司已成為「台灣電腦網路危機處理暨協調中心」聯防組織一分子,其目的為有效地交換資安情報,促進資安資訊流通、提升自我資安防護意識。
為實現本公司資訊安全具體的落實目標,本公司預計於本年度第四季取得ISO27001:2022證照,由第三方稽核單位評估本公司資通安全業務實際執行狀況。
這舉不僅是本公司資訊安全的必要措施,也是本公司對客戶、合作夥伴和其他相關方面的負責任態度的體現。本公司深知資訊安全對於企業的重要性,因此將以高度的警覺和嚴謹的態度來確保本公司的資訊安全,並致力於不斷提升資訊安全水平,以確保客戶的資訊得到最佳的保障。
本公司資通安全政策
壹、目標
為使本公司業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性Confidentiality、完整性Integrity及可用性Availability,特制訂本政策,以供全體同仁共同遵循。
貳、範圍
本公司全體同仁、本公司客戶服務對象或提供服務之協力廠商及相關第三方人員。
參、作業內容
一、本公司各項資訊蒐集、處理、利用皆應符合公司規定及政府相關法律規定,例如個人資料保護法、 著作權法、資通安全管理法等。
二、資料收集、處理、利用應採取適當保護措施,以確保其機密性。
三、確保未經授權者無法存取系統與資料,維持資料正確性及避免竄改,以確保其完整性。
四、為使授權人員皆能順利進行資料蒐集、處理、利用,須確保資料存取平台、傳輸媒體穩定及效能,以確保其可用性。
五、存取資料應與本身業務範圍相關,任何人未經授權不得存取與個人業務無關資料。
六、評估各種天災、人為損害狀況,制定資料備份、復原等計畫,以確保災後重建可維持業務持續運作。
七、為提升資通安全意識,應定期教育訓練或定期宣導資安防護。
八、為推動資通安全,應設立資通安全專責小組,訂定資通安全專責主管及資通安全專責人員。
九、資通安全專責小組每年應至少進行一次「資通安全管理審查會議」,以因應政令變化與資訊技術演進,維持資通服務品質。
十、資通安全政策與資通安全目標制定後,應呈於董事長簽名核准後實施。
肆、資通安全目標
一、資安事件≦0次
二、SSL憑證失效≦0次
三、每年至少2次資安宣導