資通安全管理之資訊揭露
(一) 敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
- 資通安全風險管理架構:本公司資訊安全風險管理小組由總經理室協理、資訊人員部門及內部稽核人員共同組成,並定期向董事會報告。
- 資通安全政策:確保公司永續經營,維護公司資訊安全為目的,建置資訊 安全組織、設定相關管理辦法與規範,監督與監控相關作業與設備的執 行落實,預先發現異常以及早因應,避免並控制傷害。
- 具體管理方案及投入資通安全管理之資源:加入ISAC、TWCERT資安情資分享平台且除定期進行例行資安檢查之外,另配合內、外部稽核人員每年將資通安全檢查列入年度稽核計畫。
網際網路管控
- 架設防火牆(Firewall)。
- 架設郵件過濾防護平台(SPAM),有效降低各式郵件攻擊的風險。
- 電腦設備應安裝防毒軟體,並定期對電腦系統及資料儲存媒體進行病毒掃瞄。
- 各項網路服務之使用應依據資訊安全政策執行。
資料存取管控
- 電腦設備應由專人保管,並設定帳號與密碼。
- 依據職能分別賦予不同存取權限。
- 調離人員應取消原有權限。
- 遠端登入資訊系統應經適當之核准。
備份復原機制
- 重要系統皆應建立系統備份機制,並落實異地備份。
- 每年定期進行系統復原演練。
- 定期檢討電腦網路安全控制措施。
- 制訂「資訊系統緊急復原計劃」。
本公司尚不需要就資安政策及具體管理方案取得國際認證,目前依據本公司風險管理小組辨識的資訊安全風險胃納程度,亦尚不需針對資安風險進行投保。
但秉持資訊安全管理,本公司仍持續強化資安防護與每年定期舉行災難復原演練,除此之外,並由小組人員隨時持續精進資訊安全管理相關之最新知識,以提昇專業職能並掌握資安關注議。
本公司最近年度於資訊安全支出共NTD 1,578仟元,已有效建立及預防各類資安風險。
(二) 列明最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實:無此情形。