更新日期:2020年08月03日
 

确保公司资讯价值的最大化,有效的防止资讯遭窃取、窜改、灭失或遗漏,除了保障资讯的机密性(Confidentiality)、完整性(Integrity)及可用性(Avaliability)之外,更要求能符合相关资讯安全标准或法规。
 

资讯安全治理制度

本公司为提升资讯安全的管理,于101年12月成立「资讯安全管理委员会」,负责审视集团各单位及子公司资讯安全治理政策、监督资安管理运作情形,期望透过专业的资安单位之管理、规画、督导及推动执行,建构出全方位的资安防护机制并提升同仁良好的资安意识、定期评估资讯安全风险并向董事会报告,近期向董事会报告日期为2020年07月27日。
 

资安委员会组织图


 

资讯安全政策

本公司以ISO 27001与BS7799为参考标准,并依据公司内部实际管理需求制定资讯安全政策。主要之资讯安全管理需求为建置基准,以资讯管理中心提供的相关资讯服务,以及公司相关部门为主要范围。
 

为了维护公司竞争优势,所有员工均应依照公司所颁布的相关资讯保护办法做好自我管理,并具备资安意识。除了资讯系统所提供服务之资讯安全控管措施,更着重保护重要个人及交易资料等资讯之机密性、完整性及可用性。同时强化资讯安全管理,确保资料、系统、设备及网路等软硬体资讯安全,营造健康的资讯环境,部署创新的资讯安全防护技术,落实推动资讯安全管理作业,以提升中光电集团安全的服务品质。
 

为达成此政策,特成立资讯安全委员会及制定相关资讯安全规范,确认资讯安全管理运作之有效性。
 

  • 资讯管理中心各单位均建立相关资讯资产清单,并明定拥有者,依资讯资产等级差异,执行风险评鑑作业,针对高于可接受水准之风险应进行风险管理,以有效降低风险,并持续落实各项管控措施。
  • 相关人员录用应进行必要之考核并签署相关作业规定文件,异动或离职时应归还其资讯资产、新进与现任同仁均须参与资讯安全教育训练并以提昇资讯安全防护之认知观念。
  • 进出中光电大楼及资讯安全管制区域应落实相关门禁管控及物品携出入规定。
  • 严禁同仁私自架设网路设备串接外部网路与公司内部网路,内外部网路均设置防火牆、非武装区(DMZ)、及必要之安全设施保护之,重要设备应建置适当之备援或监控机制,维持其可用性。同仁之个人电脑应安装防毒软体且定期确认病毒码之更新,并禁止使用未经授权软体。
  • 同仁个人持有之帐号、密码与权限应善尽保管与使用责任、管理人员应定期清查复核,重要系统运作资料应定期备份并执行回復测试。
  • 系统开發应于初始阶段考量安控机制之建置、委外开發部分应强化控管及契约资讯安全之要求,评估系统的控管要求可採取必要之控管。
  • 同仁遇有资讯安全事件,应立即通报,并依照资讯安全事件处理说明书(C12-3021)程序处理,避免事件扩大,并配合权责部门共同解决。
  • 同仁日常作业应落实确认复核机制,维持资料准确性,主管人员应督导资讯安全遵行制度落实情况,强化同仁资讯安全认知及法令观念。
  • 本公司定期检视资讯安全政策,以反映政府法令、技术及业务等最新發展现况,确保资讯安全实务作业之有效性。中光电资讯安全目标,由资讯安全委员会依据资讯安全政策,视需要调整。

资讯安全作业流程



 

资讯安全管理具体管理方案

公司除了成立资安管理委员会负责统筹、管理、督导集团所有资安业务,并有专属资安工程师专责处理资安工作、并定期进行弱点扫描、社交工程演练、防护系统有效性查核…等相关资安检测,提供相关资安宣导及教育训练课程,虽暂无购买资安险,但透过资安委员会的运作及资安政策的执行,仍可提供安全无虞的资安环境,保障公司各项服务的资讯安全。后续目标则是完备各厂资安专家系统,以强化集团资安防护网,建立资安联防机制。未来除了资安人才的扩充外,计画进行培训及认证工作,让公司的资讯安全在人力、能力上能更加完善,值得信赖。