資通安全管理之資訊揭露

一、資通安全風險管理架構
　　資通安全是本公司推動資訊化作業的目標之一，由資訊部負責制定及推行資訊安全政策；並配置資安專責人員負責執行資訊作業安全管理規劃，建置與維護資訊安全架構。透過每年的電腦審查會議及稽核室依其排定之稽核計畫查核資訊安全政策之實施情形；以確保資訊安全管理體系持續運作的適用性、適切性及有效性。
二、資通安全政策
　　本公司的資通安全政策涵蓋本公司及海外子公司。本公司資通安全政策制定的目的，以提供可茲依循之企業資訊安全指導大綱及方向，明確定義本公司資通安全管理之目標，並作為本公司各部門規範所管轄業務安全責任之指導原則。強化資通安全管理，確保資訊資料、系統、設備及網路通訊之安全，以有效降低因人為疏失、蓄意破壞、設備故障或天然災害等因素導致資訊資產遭竊、不當使用、洩漏、竄改、毀損或服務中斷之風險，並符合資通安全管理制度(ISMS)要求，確保資訊資產之機密性、完整性與可用性。
三、具體管理方案
　　資安管理策略主軸著重於資安防護、法令遵循及管理程序來進行，推行的具體管理方案如下：

• 提升資安防護能力：除基礎建置的企業防火牆之外；也透過網路安全監控(NSM)定期偵測與分析，預防資安漏洞帶來的風險；預先補強與修復，以降低資安風險。

• 增進網路、端點及應用系統安全：各端點皆有部署防毒軟體，以增進異常偵測及防護能力。導入網域管理政策來管控端點，以精進網路與應用系統安全。

• 法令遵循：本公司遵循由行政院公告的資通安全管理法施行細則。

• 教育訓練：全體員工每年應受滿１小時的資安教育訓練，及與不定期舉辦的資安講座。資訊部門同時不定期進行社交工程釣魚郵件測試，以提升資安意識。

四、投入資通安全管理之資源
　　資訊安全為公司營運的重要議題，對應資安管理事項及投入之資源重要議題，投入資源方案如下：

• 專責人力：設有專職的資訊安全專員，負責公司資訊安全規劃、技術導入及教育訓練的辦理，以維護及持續強化資訊安全。

• 教育訓練：全體員工於本年度皆完成線上資安教育訓練及測驗。

• 資安公告：不定期發送資安公告，來傳達資安防護重要規定與注意事項。

​​五、本公司近年無因重大資通安全事件所遭受損失之情事。