一、
已建置資訊安全風險管理架構
(
一)確保持續營運安全(營運不中斷)
1.
提供7X24網路及重要系統不中斷的資訊服務。
2.
每日、週、月資料備份機制,確保資料完整性與安全性。
3.
重要資訊系統進行異地備援及每年緊急應變演練。
4.
定期進行資訊資產風險評鑑作業,預防可能發生之資安威脅,使風險控制在可接受的範圍內。
5.
自2008年通過ISO 27001認證後,每年均達成資訊安全管理系統控制項(KPI)要求,確保公司營運安全。
(
二)設置「資通安全管理小組」管理組織
1.
本公司設置「資通安全管理小組」負責全公司資訊安全規劃與督導,由副總經理擔任小組召集人,資訊處處長及副處長擔任執行秘書,成員包括各一級單位資安官(由副主官擔任),顯現本公司對資通安全之重視。
2.
本管理小組下設8個分組,負責各專責事項規劃及推動。
3.
另於資訊處內成立資訊安全管理小組,負責平時相關管理事項處置及資訊安全精進作為。
(
三)建立良好的管理機制
1.
「資通安全管理小組」定期召集會議,檢討資安政策及審查資通安全相關事項,監督公司資安風險暴露程度,確保風險管理機制皆正常運作。
2.
為確保資訊安全風險降至可接受程度,本公司針對重要資訊系統皆定期進行風險評鑑作業,並訂定資通安全事件通報及緊急應變的標準作業程序供遵循。
3.
本公司自2008年取得ISO 27001資訊安全管理系統認證後,除每年須定期接受並通過外部複驗稽核外,另接受財務報表簽證之外部資訊作業查核及本公司稽核室資訊安全內部稽核。
4.
本公司年度風險委員會將資安管控列為風險項目,每年定期要求辦理資安風險衡量與對策擬定。
二、
訂定完備的資訊安全管理標準作業程序
(
一)資訊安全政策
(
二)資通安全管理小組設置要點
(
三)資訊安全管理作業要點
(
四)資訊系統開發與精進作業要點
(
五)資訊資源管理與維護作業要點
(
六)電子資料遭竊事故處理作業程序
(
七)個人資料之資通安全防護作業程序
(
八)電子檔案分級管理作業要點
(
九)ISMS適用性聲明書工作指導說明
(
十)ISMS政策與範圍工作指導說明
(
十一)ISMS風險評鑑管理工作指導說明
(
十二)ISMS資訊矯正與預防管理工作指導說明
(
十三)ISMS資訊安全法規查檢管理工作指導說明
(
十四)電腦設備安全防護工作指導說明
(
十五)資訊資產分類分級與文件記錄管理工作指導說明
(
十六)資通安全事件通報暨緊急應變作業工作指導說明
三、
本公司現有資訊安全管理作為
(
一)已建構完善資訊安全系統架構及管理機制。
(
二)關鍵資訊系統已建立線上備援機制,每日/週/月/年定期執行資料備份,萬一發生駭侵或系統故障,可控制在最短時間內快速復原。
(
三)每月抽檢資料備援作業,每年執行關鍵資訊系統緊急應變演練,可確保持續營運安全。
(
四)已建立遠端異地備援系統。
(
五)已建立資安處理協防機制。
(
六)已建立資安監控平台(SOC)供提早預警追蹤。
(
七)已開發資安大數據分析及追蹤管制系統。
(
八)本公司稽核室不定期進行資訊安全內部稽核,並將稽核報告於董事會提報。
(
九)每半年召開資通安全管理審查會議,並將執行情形定期於營運報告中向董事會提報。