一. 資通安全管理策略與架構
(1) 本公司資安責任單位為資訊處, 資訊安全主管由資訊處經理兼任, 另由兩位資訊人員兼任資安人員, 負責公司電腦網路及應用系統開發與維護,電腦硬體、週邊設備及資訊檔案維護與管理,以及資訊系統安全之規劃與執行。 每年至少一次向向董事會或管理階層報告資通安全管理運作情形, 111年度向管理階層報告日期為 112 年 2 月 15 日。
二. 資通安全政策與具體管理方案
(1) 資通安全政策: 為確保公司網路和資訊使用環境安全及穩定, 本公司 依主管機關發佈之「 上市上櫃公司資安管控指引 」經 111 年 10 月 25 日訂定本公司「 資通安全政策與作業管理辦法」 , 由資訊處負責推行及落實本規定之資通安全作業,其 內容包括核心業務及其重要性、資通系統盤點及風險評估、資通系統發展及維護安全、資通安全防護及控制措施、資通系統或資通服務委外辦理之管理措施、資通安全事件通報應變及情資評估因應、資通安全之持續精進及績效管理機制等。
(2) 本公司資安人員於 111 年 2 月 15 日 加入科學園區資安資訊分享與分析中心(SP-ISAC)組織, 確實掌握最新攻擊手法並提出因應措施,以達到早期預警,快速應變避免重大資安攻擊事件發生
(3) 本公司關鍵系統資料除例行備份外, 另設計交叉離線式備份, 以防止同時受到綁架攻擊的情形。
(4) 資通安全宣導, 每季一次宣導有關一般資訊安全觀念、通訊軟體資訊安全、釣魚郵件辨識等。
(5) 災害復原演練, 每年選擇一類電腦主機進行災害復原演練, 111年度為演練網域主機災害復原
(6) 有關社交工程演練, 於 111年 7 月 20 日針對業務部門人員無預警方式進行, 同仁均能辨別可疑郵件, 無受騙狀況。
三. 資通安全管理之資源
(1) 本公司目前資安管理組織配置 3 人, 每月至少開會一次, 討論有關資安運作狀況, 以及資安改善相關活動
(2) 對於網路攻擊防護, 除內部防火牆及防毒系統外, 本公司租用中華電信資安艦隊以加強網路攻擊防禦, 每年費用約為30.8萬元
(3) 防毒系統, 公司內的電腦皆有安裝防毒軟體,防止電腦中毒及電腦病毒的擴散, 每年費用約為8萬元