更新日期:2022年01月18日
 

確保公司資訊價值的最大化,有效的防止資訊遭竊取、竄改、滅失或遺漏,除了保障資訊的機密性(Confidentiality)、完整性(Integrity)及可用性(Avaliability)之外,更要求能符合相關資訊安全標準或法規。
 

資訊安全管理委員會

  • 於2012年12月成立「資訊安全管理委員會」,負責審視資訊安全治理政策、監督資安管理運作情形、建構全方位的資安防護機制、提升同仁資安意識、定期評估資訊安全風險。
  • 自2020年起,每年向董事會報告執行狀況。最近一次向董事會報告日期為2021年07月26日。

資訊安全管理委員會組織圖


 

資訊安全政策

本公司以ISO 27001與BS7799為參考標準,並依據公司內部實際管理需求制定資訊安全政策。主要之資訊安全管理需求為建置基準,以資訊管理中心提供的相關資訊服務,以及公司相關部門為主要範圍。
 

為了維護公司競爭優勢,所有員工均應依照公司所頒布的相關資訊保護辦法做好自我管理,並具備資安意識。除了資訊系統所提供服務之資訊安全控管措施,更著重保護重要個人及交易資料等資訊之機密性、完整性及可用性。同時強化資訊安全管理,確保資料、系統、設備及網路等軟硬體資訊安全,營造健康的資訊環境,部署創新的資訊安全防護技術,落實推動資訊安全管理作業,以提升中光電集團安全的服務品質。
 

為達成此政策,特成立資訊安全委員會及制定相關資訊安全規範,確認資訊安全管理運作之有效性。
 

  • 資訊管理中心各單位均建立相關資訊資產清單,並明定擁有者,依資訊資產等級差異,執行風險評鑑作業,針對高於可接受水準之風險應進行風險管理,以有效降低風險,並持續落實各項管控措施。
  • 相關人員錄用應進行必要之考核並簽署相關作業規定文件,異動或離職時應歸還其資訊資產、新進與現任同仁均須參與資訊安全教育訓練並以提昇資訊安全防護之認知觀念。
  • 進出中光電大樓及資訊安全管制區域應落實相關門禁管控及物品攜出入規定。
  • 嚴禁同仁私自架設網路設備串接外部網路與公司內部網路,內外部網路均設置防火牆、非武裝區(DMZ)、及必要之安全設施保護之,重要設備應建置適當之備援或監控機制,維持其可用性。同仁之個人電腦應安裝防毒軟體且定期確認病毒碼之更新,並禁止使用未經授權軟體。
  • 同仁個人持有之帳號、密碼與權限應善盡保管與使用責任、管理人員應定期清查覆核,重要系統運作資料應定期備份並執行回復測試。
  • 系統開發應於初始階段考量安控機制之建置、委外開發部分應強化控管及契約資訊安全之要求,評估系統的控管要求可採取必要之控管。
  • 同仁遇有資訊安全事件,應立即通報,並依照資訊安全事件處理說明書(C12-3021)程序處理,避免事件擴大,並配合權責部門共同解決。
  • 同仁日常作業應落實確認覆核機制,維持資料準確性,主管人員應督導資訊安全遵行制度落實情況,強化同仁資訊安全認知及法令觀念。
  • 本公司定期檢視資訊安全政策,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。中光電資訊安全目標,由資訊安全委員會依據資訊安全政策,視需要調整。

資訊安全作業流程



 

資訊安全管理具體管理方案

集團所有資安業務均由資安管理委員會負責統籌、管理、督導,並有專屬資安工程師專責處理資安工作。除日常工作外,也定期進行弱點掃描、社交工程演練、防護系統有效性查核…等相關資安檢測,提供相關資安宣導及教育訓練課程。透過資安委員會的運作及資安政策的執行,仍可提供安全無虞的資安環境,保障公司各項服務的資訊安全,故暫無購買資安險。因應近來資安攻擊事件頻傳,國內外大廠均陷入資安攻擊風險,所以公司也積極改善、強化資安防禦機制、完善資安防護、建立聯防機制、培訓資安人才,以保障公司的持續營運無虞。