資訊安全風險管理

資訊安全風險管理架構

本公司資訊安全之權責單位為總管理處轄下之資訊部，並依職責區分為機房網路管理科及軟體技術管理科。

本公司稽核室為資訊安全監理之查核單位，每年將資訊安全檢查列入年度稽核計畫，並將查核結果定期（至少一年一次）呈報董事會，且定期追蹤改善成效並報告董事會。此外，本公司每年委託會計師事務所電腦審計部之專業查核團隊針對資通安全管理進行查核，並彙報查核結果及提出相關改善建議，以提升資訊安全並降低營運風險。

資訊安全管理政策

遵循「公開發行公司建立內部控制制度處理準則」第九條有關「電腦化資訊系統處理」之規範，建立符合規範之機制、強化資訊安全宣導及教育訓練，並定期檢視，以符合資訊安全管理之標準，確保資訊安全管理之有效性，並達成維護資訊環境安全之目的。

一、網路安全管理規範，包含企業網路服務範圍、資安設備環境評估及改善流程規劃、符合企業之安全政策(Policy Rules)、風險評估及應對風險之作業流程(SOP)。

二、機房安全管理規範。

三、電腦系統安全管理規範。

四、企業內部資料共享規範及權限管理。

五、資訊資產安全規範。

六、系統發展之安全性管理及規範，包含系統開發管理、系統商管理及系統存取權限管理。

七、資安宣導與教育訓練之規劃。

資訊安全具體管理措施

本公司雖然截至目前為止尚未投保資安險，但本公司已依據資訊安全管理政策制定具體管理措施並確實執行之，包含安全管理作業程序、防火牆管理、使用者系統權限管理、資料修改申請管理、資訊系統緊急應變機制、資訊系統檔案備份管理、資訊設備報廢作業等。此外，不定期向員工宣導資訊安全管理政策，並設定系統定期自動提醒及要求員工變更系統密碼，以維護使用者帳號安全。