1. 信息安全政策愿景:强化人员认知、避免资料外泄、落实日常维运、确保服务可用,依据信息安全政策愿景,信息安全目标如下:
• 办理信息安全教育训练,推广员工信息安全之意识与强化其对相关责任之认知。
• 保护公司业务活动信息,避免未经授权的存取与修改,确保其正确完整。
• 定期进行内部稽核,确保相关作业皆能确实落实。
• 确保本公司核心系统维持一定水平的系统可用性。
2. 持续完善信息安全体系
• 设立资安专责单位,负责统筹信息安全政策推动与落实。
• 定期执行内部稽核与资安治理评估,确保作业持续符合标准。
• 取得并维护ISO 27001、TISAX AL3国际资安认证。
• 建置主动式资安侦测与防御机制,提升整体信息防护能量。
3. 确保数据的完整性和保护
• 保护公司业务信息,防止未经授权的存取、修改或破坏。
• 定期检查数据正确性与系统完整性,确保关键信息的可用性。
• 引进外部资安解决方案,持续优化信息维运流程。
4. 监控和应对信息安全威胁
• 定期办理营运应变演练与资安演练,强化应变能力。
• 加入国际资安组织(如FIRST),并与TWCERT、SP-ISAC合作,进行情资交流。
• 投保资安险,降低资安事故对营运的损失风险。
5. 人员信息安全管理与教育认知倡导
• 办理信息安全教育训练,提升员工资安意识与责任认知。
• 推动资安月活动,持续深化全员资安文化。
• 透过倡导与日常落实,强化各单位、各职务对信息安全的具体责任。
6. 供应链信息安全要求
• 要求第三方遵循公司信息安全政策与相关作业规范,降低供应链资安风险。
资安专责单位负责统筹并执行公司信息安全政策,倡导信息安全讯息,提升员工资安意识,并定期向资安长、总经理、董事长进行信息安全成果报告, 每年由资安长向董事会报告资安治理事项,查核评估公司信息作业内部控制之有效性,以及为保障信息的机密性、完整性与可用性,建置「主动式资安侦测与防御」的架构,降低信息未经授权使用、遭受破坏或外泄的风险。
ISO 27001 认证下载