高雄分公司
地址 806高雄市前鎮區復興四路12號3樓之1
電話 886-7-5361890
傳真 886-7-5361892
資通安全風險管理架構
為提升本公司整體之資訊安全,進而使內部組織及內部控管達到最佳化,統籌資訊安全管理體系等事項之協調、規劃、查核及推動,故成立「資訊安全委員會」。由本公司管理階層指派綜理資訊安全政策推動及資源調度事務之高層主管人員擔任委員會代表/資安長,協調資訊安全管理體系相關事宜,並向總經理進行報告。資訊安全政策、計畫及技術規範之研議及建置等事項,由資訊安全委員會交由資訊安全工作小組分派權責部門負責辦理。資訊安全查核政策及其計畫之研議事項,由稽核小組會同相關部門負責辦理。
資訊安全管理政策
本公司資訊安全管理政策為「強化資訊安全管理、確保資訊的機密性、完整性與可用性,免於因外在之威脅或內部人員不當之管理與使用,防止資訊被竊取、竄改、毀損、滅失、洩漏、不法利用或其他侵害等風險。」。
本公司已於112年導入ISO 27001 資通管理系統,並定期取得「ISO/IEC 27001:2022國際標準」要求的資訊安全認證,目前證書之有效期為112年12 月29 日至115年12月28日,認證的範圍包含金融支付應用系統開發暨基礎設施建置維護服務,本公司已依照ISO27001資安要求,強化公司資訊安全管理機制與防禦能力,實踐良好公司治理與企業社會責任,以展現本公司對資訊安全的重視與保護客戶機敏資訊的承諾。
資訊安全具體管理方案
本公司之資訊安全管理實務,依據國際標準「規劃(Plan)、實作(Do)、審查(Check)、改善活動(Act)」的管理循環機制,檢視資訊安全政策適用性與保護措施,並定期與「資訊安全委員會」會回報執行成效。本公司為了預防及降低外部資安風險,落實及持續更新嚴謹的資安措施,例如建置病毒掃描工具,以防止公司電腦受病毒感染;強化網路防火牆與網路控管以防止電腦病毒擴散;在公司電腦上建置防毒措施及惡意軟體偵測解決方案;建立與每年定期檢討資安績效指標;加強資料保護;加強釣魚郵件偵測並定期執行員工警覺性測試;持續演練資安攻擊之處理程序;委託外部專家執行資安評鑑等。
每年持續進行的資安相關規範,執行重點包含:資訊安全組織管理規範、資訊安全稽核管理規範、矯正措施管理規範、專案資訊安全管理規範、人員安全管理規範、風險評鑑與資訊資產管理規範、文件與紀錄管理規範、存取控制規範、憑證管理規範、安全區域管理規範、資訊系統管理規範、網路暨通訊安全管理規範、系統開發與維護管理規範、委外廠商管理規範、資訊安全事件通報暨處理規範、業務持續運作管理規範、資料保護管理規範、雲端安全管理規範、組態管理規範、威脅情資蒐集作業程序、網站過濾作業程序。
針對前述資訊安全管理相關實務,每年延請獨立驗證機構TNV (TRANSPARENT NEUTRAL VERITAS)依據國際標準之要求實施驗證稽核,稽核所發現之不符合事項與改善建議,均須依據「矯正措施管理規範」完成改善及存證。
投入資通安全管理之資源
資訊安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:
- 專責人力:設置各乙名資訊安全專責主管及安全專責人員,負責公司資訊安全規劃、技術導入與相關的稽核事項,以維護及持續強化資訊安全。
- 認證:通過「ISO/IEC 27001:2022國際標準」資訊安全認證,相關資安稽核無重大缺失。
- 教育訓練:每年進行員工資訊安全教育訓練及考核,與不定期社交工程釣魚郵件測試,以提升資安意識,使資安的運作在高階主管與各部門的支持下,落實到每一位員工身上。
- 資安公告:不定期製作資安公告,傳達資安防護重要規定與注意事項。
- 資安會議:每年至少召開乙次管理審查會議紀錄進行量測資安管理目標及量測表,每月進行乙次資安及網路安全會議。
緊急通報程序
當發現有疑似資安事件時,依據「資訊安全事件通報暨處理規範」辦理。本公司接獲其他單位(含外部客戶)所反應關鍵營運服務有異常狀況或自行發現權責管理之軟、硬體有異常狀況時,立即保全事件證據並通知通報窗口。通報窗口若判斷該異常狀況為資安事件時,立即通報資訊安全處理小組進行確認,並執行資安事件之登錄。事件處理部門共同研擬資安事件處理措施,依據資安事件分級,選擇有效的資安事件抑制的方法,以進行後續資安事件處理。
重大資通安全事件
本公司於民國112年度未發生重大資安事件。