公司資訊安全政策
- 確保公司營業秘密(Trade secret, Business secret)及客戶資料之機密性
- 確保核心營運作業之資訊應用及其支援服務與設備之可用性與完整性
- 確保資訊安全管理機制之有效性及持續性
安全政策聲明
公司為確保企業之永續發展與履行客戶承諾茲訂立公司之資訊安全政策,作業程序及辦法,以健全資訊風險管理,強化資訊安全管理機制,落實資訊安全防護,提升資訊安全之水準,並使公司各處室相關人員及重要合作夥伴有所依循
資訊安全組織及權責
- 公司設立資訊安全組織,負責處理有關資訊安全預防及危機處理相關事宜,以防止營業秘密外流與資安危機,維護資訊系統安全,並於緊急事故發生時,能迅速應變處置及在最短時間內恢復正常運作,以降低事故可能帶來之損害
- 資訊安全組織由總經理、資訊安全委員會、管理代表、資安事件應變小組、資安推行小組、各單位代表組成,並編制專責資安人員3員,依照專業需求諮詢外界學者專家、民間專業組織及團體,以加強相互合作、經驗分享,進而評估公司可能面臨資訊安全威脅,據以研擬及推動資訊安全實務措施
-
- 另由總經理擔任資訊安全組織召集人,指派管理代表負責資訊安全管理系統運作,由管理代表向召集人與資訊安全委員會報告執行內容,包含年度資安管理系統運作執行狀況與計劃、以及其他建議或臨時動議
- 112年度專責資安人員定期召開資安會議25次(固定於每雙週向管理代表報告),資安管理審查會議召開1次,董事會資安運作成效會議召開1次
| 組織名稱 | 權責內容說明 |
|---|---|
| 召集人 | 由總經理擔任,負責資訊安全政策核定、核轉及監督,資安責任分配與協調、以及資安運作成效監督。 |
| 管理代表 | 由資訊主管擔任,負責管理資訊安全系統運作活動,確保來符合自利害關係人與關注方的資安要求控制措施,以及建立公司安全及可信賴之資訊相關運作,保障公司業務永續運作。 |
| 資訊安全委員會 | 由各事業群處級主管擔任委員,需跨單位資訊安全事項權責分工協調、年度資安目標與計劃之協調研議。 |
| 資安應變小組 | 負責資安事件的應變與聯繫單位,並包含辦理資安相關政策、計劃、措施及安全技術評估、研究及建置。 |
| 資安推行小組 | 負責資安系統運作持續改善,統籌規劃並與各單位代表共同合作完成相關運作相關作業。 |
| 各單位代表 | 由各部門指派種子人員擔任,並依照其負責執行執行資安系統運作事務。 |
公司建立一套符合ISO 27001資訊安全管理機制,包含資訊資產分類及風險評估鑑別流程,以確保資訊管理機制之有效性、持續性,並針對核心營運資訊相關系統(包含設備暨網路)之可用性與完整性,並定期執行資訊安全的內部演練與教育訓練,進而提升同仁資安觀念與營業秘密意識,以確保客戶資料之機密性保護。
