信息安全风险管理架构
本公司设置「資訊管理部」,其工作职掌主要为负责信息安全及风险管理;配合公 司之经营策略与模式,设计信息管理系统,提供实时决策支持系统与管理信息。
信息安全风险管理架构
本公司致力保护公司机密信息,重视机敏信息安全是本公司对客户、员工及全体股东的承诺,深知 信息安全将攸关公司现在与未来的竞争优势,为妥善管控公司信息安全,本公司持续不断强化机密 信息保护的能力,并提升员工对机密信息安全保护的正确观念及警觉性,降低机密信息外泄的风险 以确保公司、股东、员工、客户及供货商的最佳利益。
具体管理作法
为强化资管安全管理,及确保数据、系统、设备及网络安全,本公司已建立资管安全管理办法,具体措施说明如下:
风险项目 |
风险管理单位 |
因应对策 |
| 教育训练及倡导 | 管理部、资管部 | 办理资管安全教育训练及倡导,建立员工资管安全认知及强化资管安全意识,登入系统的身份验证、密码控管、存取授权及定期进行弱点扫描等稽核机制。 |
| 网络威胁 | 资管部 | 网络建立IPS、防火墙等多层次防御,并建立防毒、邮件过滤、邮件稽核等管控机制,以降低网络威胁。 |
| 资产管理 | 资管部 | 资管设备依规定申请出入厂、入厂之厂外设备皆依公司标准设置进行配置,离厂一律格式化以确认无资管外泄疑虑。 |
| 备援机制 | 资管部 | 重要服务与数据皆有建立备援与异地备份,以确保服务不中断与数据不遗失。 |
| 文件加密 | 资管部 | 使用文件保全加密技术,保护公司内部重要机敏数据,避免未经授权机敏文件外流事件发生。 |