資訊安全風險管理

 
資訊安全政策
 
  1. 所訂定之資訊安全管理政策,以書面、電子或其他方式告知本公司所屬各單位員工、連線作業之相關單位及提供資訊服務之廠商共同遵行。
  2. 資訊安全管理政策實施後,資訊單位須定期評估,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。
  3. 持續進行適當的資訊安全宣導及教育訓練,建立「資訊安全,人人有責」觀念。
  4. 訂定關鍵性軟硬體資訊資產緊急應變計畫及災害復原計畫,並定期執行各項緊急應變流程的演練。
 
資訊安全組織
 
  1. 資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由資訊單位負責辦理。
  2. 資料及資訊系統之安全需求研議、使用管理及保護等事項,由各單位負責辦理。
  3. 資通安全相關稽核事宜,由稽核單位會同相關單位負責辦理。
 
資訊安全管理方案
 
  1. 本公司針對關鍵軟硬體資訊資產建立備援方案,硬體設備預備備援機器因應機器可能發生故障、老化等以致設備服務中斷之風險,重要系統環境定期備份以避免因內外部因素導致系統環境異常無法運作。
  2. 面臨外來資訊安全可能的挑戰,如垃圾郵件、木馬病毒、勒索軟體、竊取資料等議題,定期更新作業系統、防火牆、防毒軟體等,並持續關注資訊環境變化趨勢,擬定資訊安全防護機制與方案。
  3. 每年執行安全性檢測、災難復原演練,強化人員資安緊急應變能力。
  4. 109年9月14日對經營幹部進行相關教育宣導(2小時12人次),其他受僱人可透過下列網址自我完成學習。
  5. 110年9月2日舉辦資訊安全內部教育訓練宣導,相關人員亦可透過下列網址自我完成學習。
  6. 111年10月3日舉辦資訊安全內部教育訓練宣導(1小時9人次),相關人員亦可透過下列網址自我完成學習。  教材:(NIKO_資訊安全)
 本公司由資訊單位負責資安流程機制,定期評估資訊安全風險並向董事會報告。近期向董事會報告日期為111年11月04日。