資通安全政策
資通安全管理之目的
1.確保晶相光電股份有限公司(以下簡稱「本公司」)之系統主機、電腦設備、網路設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊盗、不當使用、洩漏機密、不當竄改或破壞等風險,並建立資通安全管理規範。
2.確保公司業務資訊之機密性、完整性與可用性。
機密性:確保被授權之人員才可使用資訊。
完整性:確保使用之資訊正確無誤、未遭竄改。
可用性:確保被授權之人員能取得所需資訊。
資通安全政策內容
1.本公司各項資通安全管理規定必須遵守政府相關法規(如:資通安全管理法、上市上櫃公司資通安全管控指引、著作權法、個人資料保護法等)之規定。
2.成立資通安全管理專職單位,負責資通安全制度之建立及推動事宜。
3.建立公司系統主機及網路使用之管理機制。
4.定期實施公司內部資通安全教育訓練,宣導資通安全政策及相關規定。
5.系統及設備建置上線前,須將風險、安全因素納入考量,防範危害資通安全之情況發生。
6.明確規範網路及資訊系統之使用權限,防止未經授權之存取動作。
7.建立資訊機房實體及環境安全防護措施,並定期施以相關維護及保養。
8.訂定資通安全管理制度內部稽核制度,定期檢視資通安全管理制度範圍內所有人員及設備使用情形,並定期出具相關報告及預防措施。
9.針對公司核心系統訂定營運持續管理計劃,並定期執行備份/備援及還原之演練,確保公司業務持續運作。
10.委外廠商在執行本公司委外需求業務時,應評估委託業務相關之資安風險。
11.本公司所有人員皆負有維持資通安全之責任,且應遵守公司相關之資通安全管理規範。
12.資安政策之評估與審查應至少每年評估及審查一次,以反映管理政策、相關法令、新型資訊技術及公司業務等之最新發展現況,確保資通安全管理制度的可行性及有效性,以維持營運和提供適當服務的能力。
資通安全風險管理架構
1.本公司設置資訊安全管理委員會,審視公司資訊安全政策與監督資訊安全運作情形。由副總經理擔任主席,加強對於資訊安全工作的橫向溝通,以利資訊安全政策的推動與落實,並定期向公司高層報告資訊安全執行成果。
2.本公司資通安全之權責單位為行政管理處-資訊室,該單位設置專業資訊人員,負責訂定企業資通安全政策、規劃並暨執行資通安全防護與資安政策推動與落實。
3.本公司稽核室為資通安全監理之督導單位,該單位設置專職稽核人員,負責督導內部資安執行狀況,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
4. 公司資訊安全管理運作模式採定期稽核與循環式管理(PDCA管理),確保可靠度目標之達成且持續改善。
資訊安全管理機制
本公司資訊安全管理機制,包含以下四個面向:
- 資訊政策的制定:訂定公司資訊安全作業管理辦法,明確訂定人員對於資訊作業的行為。
- 訊科技的運用:建置資訊安全管理設施,並持續提升與汰換軟體、硬體資訊設施,以符合當前資安風險控管。
- 資安宣導與訓練:於公眾集會與信件中,持續對人員進行資訊安全宣導與教育訓練,提昇全體同仁資安意識。
- 資安稽核與改善:本公司稽核部門定時稽核資訊安全單位,針對資安與網路風險以風險評估之流程進行風險評估,適切提出控制點建議,資訊室依此作調整與改善。
資訊安全管理措施
類別 | 說明 | 相關措施 |
---|---|---|
權限管理 |
帳號管理, 權限管理, 系統操作 |
●帳號權限管理與審核 |
存取控制 |
人員存取內外部系統, 資料傳輸管道安全措施 |
●內/外部存取管控 |
外部威脅 |
內部系統潛在弱點, 防毒防駭的保護措施 |
●主機及電腦弱點檢測與更新措施 |
系統可用 | 系統可用狀態與服務中斷時的處置措施 |
●系統/網路可用狀態監控及通報機制 |
本公司資通安全通報程序如下,資安事件之通報與處理,皆遵守該程序之規範進行