公司治理
資通安全
資通安全風險管理組織架構:
本公司於112年成立資通安全小組,編制包含資通安全專責主管及資通安全專責人員,由總經理直接督導,該小組負責資通安全相關業務之推動、協調、監督審查資通安全管理事項及定期檢討公司之資安政策。
內部稽核單位依據內部稽核計畫每年至少辦理一次資訊安全內部稽核與追蹤。
資通安全政策:
(1) 落實公司同仁資通安全宣導與教育訓練,以提高資通安全意識,降低資通安全事件發生機率。
(2) 確實遵守各項資通安全管理措施,確保所使用電腦硬體、軟體、週邊及網路系統之安全性及資訊作業之正確性與有效性。
(3) 公司機敏資料及資通系統之機密性與完整性,避免未經授權之存取、竄改與破壞。
資通安全風險的評估及強化資通安全管理:
本公司已建置完整的網路及電腦安全防護系統,以控管與支持公司的整體經營維運管理等重要企業功能,但無法保證能完全避免來自任何第三方的網路惡意攻擊。這些網路惡意攻撃可能以主動或被動等非法方式,入侵企業內部網路及電腦系統,以進行資料竊取、破壞公司營運或損及公司商譽等違法活動。
駭客網路入侵行為可能企圖竊取公司的營業祕密、其他智慧財產及機密資訊,例如客戶或其他利害關係人的專有資訊以及員工的個資。經由寄送釣魚電子郵件或惡意網站連結,亦會試圖將電腦病毒、木馬程式或勒索軟體植入企業內部電腦及網路系統,藉以干擾公司營運、竊取資料或對公司要求勒索贖金給付。這些惡意攻擊可能導致公司因延誤或中斷客戶訂單而需賠償損失;或需支出鉅額費用實施補救和改善措施,以強化公司的電腦及網路安全系統;也可能使公司因涉入公司對其有保密義務之客戶或第三方資訊外洩而導致的相關法律案件或監管調查,因而承擔重大法律責任。
為確保資通安全防範上述風險,於平時監督各部門於執行資訊安全作業辦法之辦理及落實情形,透過資訊安全宣導活動及主管會議中傳達資訊安全相關宣導,推廣員工資訊安全之意識與強化其對相關責任認知。
投入資通安全管理之資源:
(1) 隨著資訊科技的日新月異、不斷進步,公司持續強化資料異地備份及資訊系統備援之規劃、精進網路防火牆防駭功能、提升過濾垃圾郵件系統效能、優化電腦防毒軟體功能…等電腦及網路安全之管理機制。
(2) 執行社交工程演練,並對使用者進行資訊安全教育宣導,提升員工個人資訊安全意識,有效降低駭客入侵及網路惡意攻擊之資安風險。
(3) 112年成立資通安全小組,並設置資通安全專責主管及專責人員之組織編制,並投入防火牆改善約新台幣80萬元。
(4) 資安保險之安排:尚在評估中。
最近年度因重大資通安全事件所遭受之損失、可能影響今因應措施
1. 民國112年度公司並未發現重大的網絡攻擊或事件己經或可能將對公司業務及營運產生重大不利影響,也未曾涉入任何與此有關的法律案件或監管調查。
2. 資通安全事件避免損害之因應措施: 為避免資通安全事件導致公司蒙受損害的風險,己完整建置資料備份及系統備援之管理機制,以確保資訊服務不中斷,並定期將資料備份媒體送往異地保管存放,以強化備份資料的安全性。規劃定期執行災難還原演練,以驗證備份資料的正確性、可靠性及可還原性,確保資訊系統能持續正常運作,降低無預警災害或人為作業疏失所造成的系統服務中斷之風險。