資通安全管理架構

---

一、具體管理方案及投入資通安全管理之資源

1.資通安全小組於每季定期召開資通安全， 112年度共召開4次。
2.截止112年底本公司未有因重大資通安全事件所遭受之損失之情事。
3.進行全員資安教育訓練與不定期社交工程釣魚測試，以提升資安意識。

教育訓練課程	人數	時數
112年資安社交工程訓練	33	12
資訊安全工程師初級培訓班	1	12

二、資通安全風險管理架構

為強化本公司之資訊安全管理、確保資料、系統及網路安全，本公司於112年指定資源服務部主管蘇俊生協理負責資訊安全管理事項之協調及推動，資通安全處理專責人員也會為加強員工資訊安全意識，不定期發送電子郵件宣導資訊安全知識，以降低資訊安全事件產生之損害。本公司由資通安全專責人員負責內部資訊安全治理、規劃、督導及控管，以確保資訊安全作業之有效性。
本公司應依下列分工原則，指示有關單位及人員之權責：
1.資訊安全政策、計畫及技術規範之研議、建置及評估等事項，由資訊單位負責辦理。
2.資料及資訊系統之安全需求研議、使用管理及保護等事項，由業務單位負責辦理。
3.資訊機密維護及稽核使用管理事項，由稽核單位會同相關單位負責辦理。
 

三、組織

資通安全小組共六人。

四、資通安全政策

項次	項目	具體管理措施
1.	電腦系統安全管理	使用者安裝來源合法的防毒軟體，並且定時更新病毒碼，以保持作業系統處於健全的防護程度。
2.	網路安全管理	定期變更驗證方式以及使用多種防護作為外，也需隨時保持資安的警覺性。
3.	系統存取控制	定期檢查存取權限、使用者密碼管理、儲存媒體的保存。
4.	系統發展及維護安全管理	定期更新易耗損的硬體設備，備份重要資料，以及安裝備用電源，預防斷電造成的資料損失等。
5.	業務永續運作之規劃	評估各種人為及天然災害對公司正常業務運作之影響，已因應緊急狀況及回復作業程序。
6.	人員管理及資訊安全教育訓練	系統之管理、維護、設計及操作之人員，應妥適分工，分散權責，實施人員輪調，建立人力備援制度。

公司定期執行資訊安全稽核作業，檢視存取權限及資訊安全管理制度之落實，確保資訊系統、業務的持續運作正常，故應無相關風險。未來將會視營運規模及需要持續強化資安防護及培訓優質資安人才，建立安全可信賴之電子化作業環境，保障資訊安全。