为提升资讯安全管理,本公司已于106年10月25日成立“资讯安全管理委员会”及指派公司跨处室之资讯安全代表,每季召开资讯安全管理审查会议及资讯安全代表会议。并由资讯处主管每年定期向董事会报告资讯安全执行成果,108年执行情形说明如下:
由总经理担任召集人,并由营运资深副总经理担任资安长为管理审查会议主席,每季定期召开会议,审查资讯安全发展方向及策略,使资讯安全管理制度持续稳健运作。
依各处室指派之资讯安全代表,由资讯处系统维运部主管担任资讯安全管理代表,自107年05月起每季召开“资安代表会议”,审查资讯安全发展计划、执行成果及宣达相关资讯安全政策与执行要点。
资讯安全治理报告及成果已于108年6月19日第八届第27次董事会报告在案。
本公司每年定期审查资讯安全政策,并已由董事长于108年5月27日签署本公司资讯安全政策,公告于本公司网站。
1. 本公司订有“资讯安全管理规范”,保护硬件、软件、资料及文件、人员等满足C(机密性)、I(完整性)、A(可用性)、C(法律遵循性),并以持续运作、资安挑战、适法性三个方向作为架构资讯安全之基础,逐步完善管理措施。
2. 本公司针对公司营运类资产如维修资讯系统、网络设备等资讯设备,已投保硬件设备电子保险,并透过保全监控作业避免设备被窃或是恶意损毁情事发生。
3. 鉴于资安险为新兴保险种类,考量保险范围、理赔范围、理赔鉴识、鉴识机构资格等议题综效,本公司经评估后暂不投保资安险,但因应资讯安全所面临的挑战,如APT进阶持续性攻击(Advanced Persistent Threat)、DDoS(Distributed Denial of Service)攻击、勒索软件、社交工程攻击、窃取资讯等资安议题,已采取以下策略:
每年依公司资讯安全政策持续关注资讯环境变化趋势,并参考技术文刊资料,拟订资讯安全防护机制与方案。
每年执行安全性检测、资通安全健诊、社交安全及资安事件演练,强化公司同仁资安危机意识及资安处理人员应变能力,以期能事先防范及第一时间有效侦测并阻绝扩散。
本公司自106年12月通过ISO27001资讯安全管理系统BSI验证,并于107年10月再度以“零缺失”通过年度复验并于同年12月7日获BSI英国标准协会于国际资安标准管理年会颁发“资安保护实践奖”。