公司治理
资通安全
资通安全风险管理组织架构:
本公司于112年成立资通安全小组,编制包含资通安全专责主管及资通安全专责人员,由总经理直接督导,该小组负责资通安全相关业务之推动、协调、监督审查资通安全管理事项及定期检讨公司之资安政策。
内部稽核单位依据内部稽核计画每年至少办理一次资讯安全内部稽核与追踪。
资通安全政策:
(1) 落实公司同仁资通安全宣导与教育训练,以提高资通安全意识,降低资通安全事件发生机率。
(2) 确实遵守各项资通安全管理措施,确保所使用电脑硬体、软体、周边及网路系统之安全性及资讯作业之正确性与有效性。
(3) 公司机敏资料及资通系统之机密性与完整性,避免未经授权之存取、窜改与破坏。
资通安全风险的评估及强化资通安全管理:
本公司已建置完整的网路及电脑安全防护系统,以控管与支持公司的整体经营维运管理等重要企业功能,但无法保证能完全避免來自任何第三方的网路恶意攻击。这些网路恶意攻撃可能以主动或被动等非法方式,入侵企业内部网路及电脑系统,以进行资料窃取、破坏公司营运或损及公司商誉等违法活动。
骇客网路入侵行为可能企图窃取公司的营业秘密、其他智慧财产及机密资讯,例如客户或其他利害关系人的专有资讯以及员工的个资。经由寄送钓鱼电子邮件或恶意网站连结,亦会试图将电脑病毒、木马程式或勒索软体植入企业内部电脑及网路系统,借以干扰公司营运、窃取资料或对公司要求勒索赎金给付。这些恶意攻击可能导致公司因延误或中断客户订单而需赔偿损失;或需支出巨额费用实施补救和改善措施,以强化公司的电脑及网路安全系统;也可能使公司因涉入公司对其有保密义务之客户或第三方资讯外泄而导致的相关法律案件或监管调查,因而承担重大法律责任。
为确保资通安全防范上述风险,于平时监督各部门于执行资讯安全作业办法之办理及落实情形,透过资讯安全宣导活动及主管会议中传达资讯安全相关宣导,推广员工资讯安全之意识与强化其对相关责任认知。
投入资通安全管理之资源:
(1) 随着资讯科技的日新月异、不断进步,公司持续强化资料异地备份及资讯系统备援之规划、精进网路防火墙防骇功能、提升过滤垃圾邮件系统效能、优化电脑防毒软体功能…等电脑及网路安全之管理机制。
(2) 执行社交工程演练,并对使用者进行资讯安全教育宣导,提升员工个人资讯安全意识,有效降低骇客入侵及网路恶意攻击之资安风险。
(3) 112年成立资通安全小组,并设置资通安全专责主管及专责人员之组织编制,并投入防火墙改善约新台币80万元。
(4) 资安保险之安排:尚在评估中。
最近年度因重大资通安全事件所遭受之损失、可能影响今因应措施
1. 民国112年度公司并未发现重大的网络攻击或事件己经或可能将对公司业务及营运产生重大不利影响,也未曾涉入任何与此有关的法律案件或监管调查。
2. 资通安全事件避免损害之因应措施: 为避免资通安全事件导致公司蒙受损害的风险,己完整建置资料备份及系统备援之管理机制,以确保资讯服务不中断,并定期将资料备份媒体送往異地保管存放,以强化备份资料的安全性。规划定期执行灾难还原演练,以验证备份资料的正确性、可靠性及可还原性,确保资讯系统能持续正常运作,降低无预警灾害或人为作业疏失所造成的系统服务中断之风险。