1. 資訊安全政策願景:強化人員認知、避免資料外洩、落實日常維運、確保服務可用,依據資訊安全政策願景,資訊安全目標如下:
• 辦理資訊安全教育訓練,推廣員工資訊安全之意識與強化其對相關責任之認知。
• 保護公司業務活動資訊,避免未經授權的存取與修改,確保其正確完整。
• 定期進行內部稽核,確保相關作業皆能確實落實。
• 確保本公司核心系統維持一定水準的系統可用性。
2. 持續完善資訊安全體系
• 設立資安專責單位,負責統籌資訊安全政策推動與落實。
• 定期執行內部稽核與資安治理評估,確保作業持續符合標準。
• 取得並維護ISO 27001、TISAX AL3國際資安認證。
• 建置主動式資安偵測與防禦機制,提升整體資訊防護能量。
3. 確保資料的完整性和保護
• 保護公司業務資訊,防止未經授權的存取、修改或破壞。
• 定期檢查資料正確性與系統完整性,確保關鍵資訊的可用性。
• 引進外部資安解決方案,持續優化資訊維運流程。
4. 監控和應對資訊安全威脅
• 定期辦理營運應變演練與資安演練,強化應變能力。
• 加入國際資安組織(如FIRST),並與TWCERT、SP-ISAC合作,進行情資交流。
• 投保資安險,降低資安事故對營運的損失風險。
5. 人員資訊安全管理與教育認知宣導
• 辦理資訊安全教育訓練,提升員工資安意識與責任認知。
• 推動資安月活動,持續深化全員資安文化。
• 透過宣導與日常落實,強化各單位、各職務對資訊安全的具體責任。
6. 供應鏈資訊安全要求
• 要求第三方遵循公司資訊安全政策與相關作業規範,降低供應鏈資安風險。
資安專責單位負責統籌並執行公司資訊安全政策,宣導資訊安全訊息,提升員工資安意識,並定期向資安長、總經理、董事長進行資訊安全成果報告,每年由資安長向董事會報告資安治理事項,查核評估公司資訊作業內部控制之有效性,以及為保障資訊的機密性、完整性與可用性,建置「主動式資安偵測與防禦」的架構,降低資訊未經授權使用、遭受破壞或外洩的風險。
ISO 27001 認證下載