资讯安全管理
信息安全委员会
高层级监督,强化企业韧性
为加强资安风险监督并强化董事会职能,本公司于 111 年 11 月 10 日 依据上市上柜公司治理实务守则设置「信息安全委员会」。透过专业审核机制,全面保护企业资产并健全资安管理机制。
委员会组成
4 席
全体独立董事组成
每年至少召开一次
委员会职权事项
🛡️
管理与监督:
审查信息安全管理政策、拟订信息安全管理架构及组织功能,定期检视公司整体资安管理机制之发展、建置及执行结果。
审查信息安全管理政策、拟订信息安全管理架构及组织功能,定期检视公司整体资安管理机制之发展、建置及执行结果。
📈
业务与计划:
审查新业务之信息安全管理机制,并审查年度信息安全推动计划。
审查新业务之信息安全管理机制,并审查年度信息安全推动计划。
🚨
事故应变:
核备重大信息安全事故损失之检讨与因应措施。
核备重大信息安全事故损失之检讨与因应措施。
⚖️
合规与呈报:
审查主管机关、董事会及资安政策中要求需呈报董事会之事项。
审查主管机关、董事会及资安政策中要求需呈报董事会之事项。
(一)資訊安全管理架構
Information Security Management Framework | 信息安全管理架构
信息安全管理措施与成果
一、持续改善管理机制 (PDCA)
P 规画
管理资安风险,从系统、技术、程序面降低威胁,建立高规格机密保护。
管理资安风险,从系统、技术、程序面降低威胁,建立高规格机密保护。
D 执行
导入创新防护技术与软硬件维运,确保资产机密性、完整性及可用性。
导入创新防护技术与软硬件维运,确保资产机密性、完整性及可用性。
C 查核
量化分析管理成效,透过仿真演练评估信息安全成熟度。
量化分析管理成效,透过仿真演练评估信息安全成熟度。
A 行动
落实季度演练与教育训练,加强员工资安意识,防止信息外泄。
落实季度演练与教育训练,加强员工资安意识,防止信息外泄。
二、具体管理方案架构
✔ 主机设备安装防病毒软件,定期扫描并自动更新病毒特征。
✔ 定期弱点扫描与系统排程更新,防堵病毒与漏洞风险。
✔ 邮件安全防护系统,防堵恶意攻击、病毒与可疑网址。
✔ 防火墙与入侵检测管控流量,实时监控异常网络封包。
✔ 网页浏览安全监控,实时扫描可疑网站,防范浏览中毒。
✔ 定期资安教育训练,提升员工防护意识与资通安全管理。
三、投入资源与执行成果