公司治理
资通安全
资通安全风险管理组织架构:
本公司于112年成立资通安全小组,编制包含资通安全专责主管及资通安全专责人员,由总经理直接督导,
该小组负责资通安全相关业务之推动、协调、监督审查资通安全管理事项及定期检讨公司之资安政策。
内部稽核单位依据内部稽核计划每年至少办理一次信息安全内部稽核与追踪。
资通安全政策:
(1) 落实公司同仁资通安全倡导与教育训练,以提高资通安全意识,降低资通安全事件发生机率。
(2) 确实遵守各项资通安全管理措施,确保所使用计算机硬件、软件、外围及网络系统之安全性及资
讯作业之正确性与有效性。
(3) 公司机敏数据及资通系统之机密性与完整性,避免未经授权之存取、窜改与破坏。
资通安全风险的评估及强化资通安全管理:
本公司已建置完整的网路及计算机安全防护系统,以控管与支持公司的整体经营维运管理等重要企业功能
,但无法保证能完全避免來自任何第三方的网路恶意攻击。这些网路恶意攻撃可能以主动或被动等非法方
式,入侵企业内部网路及计算机系统,以进行数据窃取、破坏公司营运或损及公司商誉等违法活动。
黑客网络入侵行为可能企图窃取公司的营业秘密、其他智能财产及机密信息,例如客户或其他利害关系人
的专有信息以及员工的个资。经由寄送钓鱼电子邮件或恶意网站链接,亦会试图将计算机病毒、木马程序或
勒索软件植入企业内部计算机及网路系统,藉以干扰公司营运、窃取数据或对公司要求勒索赎金给付。这些
恶意攻击可能导致公司因延误或中断客户订单而需赔偿损失;或需支出巨额费用实施补救和改善措施,以
强化公司的计算机及网路安全系统;也可能使公司因涉入公司对其有保密义务之客户或第三方信息外泄而导
致的相关法律案件或监管调查,因而承担重大法律责任。
为确保资通安全防范上述风险,于平时监督各部门于执行信息安全作业办法之办理及落实情形,透过信息
安全倡导活动及主管会议中传达信息安全相关倡导,推广员工信息安全之意识与强化其对相关责任认知。
投入资通安全管理之资源:
(1) 随着信息科技的日新月异、不断进步,公司持续强化数据异地备份及信息系统备援之规划、精进网络防
火墙防骇功能、提升过滤垃圾邮件系统效能、优化计算机防病毒软件功能…等计算机及网络安全之管理机
制。
(2) 执行社交工程演练,并对用户进行信息安全教育倡导,提升员工个人信息安全意识,有效降低黑客入
侵及网络恶意攻击之资安风险。
(3) 112年成立资通安全小组,并设置资通安全专责主管及专责人员之组织编制,并投入防火墙改善约新台
币80万元。
(4) 资安保险之安排:尚在评估中。
最近年度因重大资通安全事件所遭受之损失、可能影响今因应措施。
1. 民国112 年度公司并未发现重大的网络攻击或事件己经或可能将对公司业务及营运产生重大不利影
响,也未曾涉入任何与此有关的法律案件或监管调查。
2. 资通安全事件避免损害之因应措施: 为避免资通安全事件导致公司蒙受损害的风险,己完整建置资料
备份及系统备援之管理机制,以确保信息服务不中断,并定期将数据备份媒体送往異地保管存放,以
强化备份数据的安全性。规划定期执行灾难还原演练,以验证备份数据的正确性、可靠性及可还原
性,确保信息系统能持续正常运作,降低无预警灾害或人为作业疏失所造成的系统服务中断之风险。