資訊安全

1. 保護資訊避免未經授權使用。

2. 避免資訊揭露給予未經授權者，維護資訊機密。

3. 避免未經授權者竄改資訊，保護資訊完整。

4. 合法使用者及時取得所需資訊。

5. 落實遵守資訊安全有關法律及規定，避免使用非法軟體。

6. 建立系統備援機制，維持公司業務永續運作。

7. 提供員工資訊安全訓練，強化整體安全認知。

8. 建置資訊安全控管設備及時偵測安全漏洞以防止電腦駭客入侵及病毒破壞。

9. 建立即時通報系統，以期於安全事件發生時，可即時採取因應措施。

 

ISO 27001 資訊安全管理系統

本公司為強化資訊安全防護，自2012 年起全力推動導入資訊安全管理系統，2013 年8 月取得ISO 27001 資訊安全管理系統（Information Security Management System, ISMS）證書。公司持續精進網路資通系統架構，同時要求同仁落實資訊安全管理規範，透過資訊資產與風險評鑑、監控營運衝擊分析與營運持續演練等機制建構完整的資安防護力，將資安意識及觀念融入成為公司企業文化的一部份，朝建構零信任網路架構目標前進。

資訊安全管理系統認證	取得日期	有效日期
ISO 27001:2022	2025年8月16日	2028年8月16日

註 : ISO 27001 證書

 

資訊安全組織

針對企業資訊安全特別成立資訊安全處理小組，定期召開管理審查會議，制訂與檢討資訊安全管理目標及政策；為有效推動資訊管理政策，資安組織下設立專案小組、安全預防小組、危機處理小組、資安稽核小組、供應商推廣小組，由各職能部門資深管理人員擔任，確保資安管理系統能持續穩健運作。

 

 

透過ISO 27001 資訊安全管理系統導入，遵循資安政策要求、定期進行資訊安全宣導及員工資訊安全教育訓練等，每年由內部及外部專業稽核人員、組織對資安管理系統進行稽核，就資安運作狀況、風險控制及事件改善進行評審，呈報至資訊安全處理小組，以控制及降低資安風險。

 

資安事件通報與應變機制

資訊風險控制

為落實資訊風險管控，進行相關的資安防護措施，不但著重在加強相關網路邊界管控，並以零信任(Zero Trust)網路架構為目標邁進，並且從管理上及技術上落實資訊安全管理政策，透過相關資安聯盟收集及交換資安情資，同時加入中華民國資訊軟體協會-資安長聯誼會了解最新資安漏洞，掌握最新威脅資訊(Twcert、NVD、CVE)，並自2022年起持續由資安廠商以託管式偵測及回應服務(簡稱MDR)加強防護：

1. 1. 不定期的預警性通報，即早採取相關預警應變動作，如：收到國家級組織型駭客寄送釣魚郵件通報，可立即加入郵件管控系統進行過濾；收到Windows 系統嚴重風險漏洞通報，即可適時進行系統修補。
   2. 透過每個月提供的資安事件與統計月報，對資安偵測活動紀錄、通報警訊與資安事故，進行因應處理的措施。
   3. 由資安廠商針對台灣威脅情資中心近期發現之重要資安議題進行探討與分享，以達資安聯防增進整體資安防護能力。

資安管理資源投入