項目
|
說明
|
工作職掌 |
1.統整規畫年度資訊安全計畫,整合公司資安作業。
2.決策資安風險評鑑作業,強化持續營運需求。
3.定義資安政策目標,決策資安目標面向。
4.督導稽核廠處資訊安全活動,以確認符合資訊安全政策與程序、辦法。
5.規劃執行廠處資安稽核計畫,提出稽核報告,追蹤改善情形。
6.資安推動小組人員總數為14位,成員皆為各工廠最高主管及其資安代表,負責推動與落實工廠各項資安管控機制與辦法建立。 |
董事會報告 |
每年定期(兩次)向永續發展及提名委員會及董事會報告資安成果與計畫。 |
資訊安全政策每季會議 |
1.審查與核准重要的資訊安全需求。
2.審查與解決重大的資訊安全議題。
3.檢視資訊安全管理的成效和回饋意見。
5.風險評鑑審查會議。 |
資訊安全政策 |
1.制定完善的資安政策與規劃,滿足營運及客戶全面性資安需求。
2.落實確保資安的運行與效益,達成集團業務營運永續發展目標。 |
風險管理與防範方案 |
1.成立資安委員會,建立審查權責機制,強化集團資安之防護。
2.保護檔案機密性,加強資訊安全規範,確保機敏資料不外洩。
3.維持資料完整性,制定資訊安全流程,降低資安異常與缺失。
4.落實系統可用性,執行資訊安全稽核,完善資訊服務不中斷。 |
方案及具體管理
當年度執行情形
|
1.已導入資安建構系統工具,保護系統管理員帳號、改善簽核便捷與資料傳輸加密作業,確保資訊及資料不外洩。
2.制訂定期資訊安全內部稽核,並於每半年定期檢視相關資訊問題。
3.每年定期審查資訊系統帳號權限,並檢視使用帳號之合理性。
4.每年執行供應商資訊安全評鑑作業,協同強化供應商資安風險管控,以保護我司資料安全。
5.每年定期委外資安專業廠商,進行我司對外服務之伺服器(例如:公司網站...等)進行弱點掃描或滲透測試作業。
6.持續強化資安防護與建立聯防機制,並培育優秀資安人才。
7.規劃ITILv4 管理評鑑機制,強化資訊流程與保護。
8.每月對員工進行郵件社交攻擊演練,提升員工對釣魚郵件的警覺性。
9.112年12月25日完成ISO27001稽核作業,且今年未有重大資安事件。
10.已加入台灣資安主管聯盟,強化資安外部連結。
11.已於2018年6月開始投保Cyber Risk Insurance,以降低業務中斷所造成的風險損失及求償責任,期望成為於資安治理成熟度表現傑出之企業。
12.公司於110 年導入 ISO27001 資訊管理系統,並取得ISO27001 認證, 證書之有效期為110年12月7日至113年12月6日。並訂於113年11月進行ISO27001:2022轉版驗證,預計將證書有效期限延展至116年12月6日。透過 ISO27001 資訊安全管理系統之導入,強化資訊安全事件之應變處理能力,保護公司與客戶之資產安全。
13.113年已執行全體員工資通安全教育訓練,課程時間為53分鐘。
14.113年參與資安稽核相關工作人數為198人,資安專案開會次數為20次。 |
|