本公司透過硬體架構規劃、軟體開發設計及資訊系統循環之執行,保護內部資料之機密性、完整性、可用性及適法性,及避免遭受外部不法網路攻擊之威脅,並經由內、外部檢視機制以確保公司資訊安全,強化客戶對本公司的信心。
本公司資訊安全管理政策參酌ISO 27001之框架,擬完善國際標準各控制領域之要求,作為本公司為保護公司資料之日常維運基本控制措施,並進一步確保資訊安全管理框架之完整性,以符合客戶、顧客、相關法令規定及資訊業務最新發展現況。
1. 人員管理
透過不斷的培訓以提升同仁資安意識並內化於各項作業中,落實最人為資安之核心。
2. 資安監控
定期進行防火牆設備韌體、阻擋規範設定之更新,並透過資安監控中心共同監控內外部異常活動,建立嚴密資安屏障。
3. 流程管理
以資訊系統循環劃分軟體開發人員權責及程式修改流程、系統文書管理、程式及資料存取控制,確保資料保全、資訊安全妥適管理。
4. 內控管理
每年定期由內部稽核單位進行資訊循環、資訊安全查核,確保內部資安管理措施之落實度以達管控措施持續精進。
5. 外部稽核
每年定期由外部稽核機構進行資訊流程、資訊安全管控查核、第三方簽核建議,逐年優化精進資訊安全。
6. 定期報告
定期向董事會報告資訊安全管理計畫之執行情況,並檢討改進。
除了定期執行相關資訊安全措施以外,亦依據風險等級定義不同之風險管理措施,以確保公司資訊安全:
・確實執行資料備份計畫
・定期更新持續營運計畫
・定期進行災難應變演練
本公司透過硬體架構規劃、軟體開發設計及資訊系統循環之執行,保護內部資料之機密性、完整性、可用性及適法性,及避免遭受外部不法網路攻擊之威脅,並經由內、外部檢視機制以確保公司資訊安全,強化客戶對本公司的信心。
本公司資訊安全管理政策參酌ISO 27001之框架,擬完善國際標準各控制領域之要求,作為本公司為保護公司資料之日常維運基本控制措施,並進一步確保資訊安全管理框架之完整性,以符合客戶、顧客、相關法令規定及資訊業務最新發展現況。
1. 人員管理
透過不斷的培訓以提升同仁資安意識並內化於各項作業中,落實最人為資安之核心。
2. 資安監控
定期進行防火牆設備韌體、阻擋規範設定之更新,並透過資安監控中心共同監控內外部異常活動,建立嚴密資安屏障。
3. 流程管理
以資訊系統循環劃分軟體開發人員權責及程式修改流程、系統文書管理、程式及資料存取控制,確保資料保全、資訊安全妥適管理。
4. 內控管理
每年定期由內部稽核單位進行資訊循環、資訊安全查核,確保內部資安管理措施之落實度以達管控措施持續精進。
5. 外部稽核
每年定期由外部稽核機構進行資訊流程、資訊安全管控查核、第三方簽核建議,逐年優化精進資訊安全。
6. 定期報告
定期向董事會報告資訊安全管理計畫之執行情況,並檢討改進。
除了定期執行相關資訊安全措施以外,亦依據風險等級定義不同之風險管理措施,以確保公司資訊安全:
・確實執行資料備份計畫
・定期更新持續營運計畫
・定期進行災難應變演練