資訊安全

管理架構

本公司為落實資訊安全及個人資料的保護管理，於2016年成立「資安暨個資管理委員會」，及指派公司跨處室之資訊安全代表，每季召開資訊安全管理審查會議及資訊安全代表會議。並由資訊處主管每年定期向董事會報告資訊安全執行成果。

資訊安全治理報告及執行成果已於2021年11月11日董事會報告在案。

資訊安全管理政策

本公司體認資訊安全為企業永續發展重要議題，為確保資訊之機密性、完整性及可用性，特製定資訊安全管理政策為：

落實防護措施，確保資訊安全

並採取以下策略：
1.建立 ISO 27001 資訊安全管理系統。
2.實施教育訓練，提升資安意識。
3.運用風險管理，管控資訊安全。
4.強化應變機制，落實持續改善。

管理方案

各項主要評估項目與具體管理方案分述如下：

一、外部威脅
1.定期網路弱點掃描、修補網路破洞，降低駭客入侵。
2.使用防火牆過濾惡意軟體入侵攻擊。
3.使用郵件過濾軟體過濾郵件病毒及垃圾郵件。
4.更新防毒軟體，防止感染各類病毒。
5.進行委外廠商實地稽覈，專案開始並簽訂「委外廠商人員保密切結書」。

二、內部管理
1.加強資安宣導及教育訓練
2.導入加密系統，針對機密文件加密，防止資料外洩
3.針對關鍵主機定期備份及簽訂備援服務，並且每年執行災害演練。
4.定期審查特權帳號及一般帳號，控管帳號。
5.設置系統開發測試環境，減少人為疏失。
6.外部人員必須提出申請，纔可存取內部網路資源(wifi)
7.收集系統軌跡紀錄，防止他人非法進入系統。
8.隨身碟需註冊後纔可在公司電腦使用

2019年7月資安暨個資管理委員會決議引進外部顧問資源，同年12月啟動「資安管理制度導入暨驗證專案」；已於2021年通過 ISO 27001 資訊安全管理系統認證。