公司治理
一、功能性委員會成員組成(至少包括委員姓名)及運作之介紹
(一)本公司資訊安全委員會,均由專業之三位委員組成,成員介紹如下:
職稱 | 姓名 | 學歷 | 現職 | 主要經歷 |
---|---|---|---|---|
召集人 | 蘇美琍 | 淡江大學會計學系 | 信磊合署會計師事務所執業會計師、經濟部中小企業處財務顧問暨榮譽會計師、揚秦國際企業股份有限公司獨立董事、昱展新藥生技股份有限公司獨立董事 | 勤業眾信聯合會計師事務所審計部協理,具備會計師、稅務代理人專業證照、具備會計、審計等工作二十年以上經驗 |
委員 | 何奕達 | 美國麻省理工學院史隆管理學院經營管理碩士 | 永豐餘消費品實業(股)公司董事長 | 永豐餘投資控股(股)公司執行長 |
委員 | 謝宛娟 | 國立台灣大學企業管理商學所EMBA碩士 | 醫療財團法人好心肝基金會副總監、財團法人楊塘海社會福利慈善基金會董事 | 肝病防治學術基金會副總監、全民健康基金會副總監、具備商務工作五年以上經驗 |
本公司資訊安全委員會由3名委員組成,旨在協助董事會致力於持續推動資訊安全管理之落實,以強化公司治理體質、增進業務運作之安全為目的。
為持續完善資通安全管理,投入事項包含完善治理面及技術面之安全基礎架構、強化資安防禦設備與教育訓練等:
- 設備:次世代防火牆、網路交換器、無線網路控制器及AP。
- 軟體:傳統防毒軟體更換為新世代端點防護軟體,系統安全性更新。
- 人員:網管、資安人員訓練,辦理復原演練、社交工程演練、弱點掃描作業。
設立目的
- 協助董事會致力於持續推動資訊安全管理之落實,以強化公司治理體質、增進業務運作之安全為目的。
- 委員會之組成及任期
- 本委員會成員人數不得少於三人,由董事會決議委任之,至少應有一名委員為獨立董事。並由其中一名獨立董事擔任召集人。本委員會成員之任期與委任之董事會屆期相同,得連選連任。
職責範圍(包含下列事項,並定期向董事會報告)
- 資訊安全政策及辦法之審議。
- 資訊安全管理制度之檢視及審議。
- 年度資訊安全推動計畫之審議。
- 核備重大資安事故損失之檢討與因應措施。
-
董事會
∣
資訊安全委員會
∣
召集人資訊部主管 資安管理小組
┌───────┬───────┼───────┬───────┐
稽核室委派委員 資訊部委派委員 人資部委派委員 法務委派委員 行銷部委派委員
-
資安委員會下轄資安管理小組,資安管理小組由資訊部主管擔任召集人,稽核室、資訊部、人資部、 法務暨行銷部各委派 1人為委員,如因職務調動應即刻指派遞補人員並辦理交接。資安管理小組負責規劃各項資訊安全作業、資訊安全預防與事件處理程序,並交由負責人員執行、管理實際執行成效及後續檢討程序修正事宜。
-
資通安全風險管理架構
資訊部為獨立部門,負責統籌並執行資訊安全政策、宣導資訊安全訊息提升員工資安意識、評估改進資訊安全管理績效及有效性之技術、產品或程序等,以預防宣導、偵測防禦、應變復原為管理架構。
每年由稽核室就電子計算機循環內部控制制度,進行組織內資訊安全查核,評估資訊作業內部控制之有效性。
一、政策目的:
本公司為了達到營運與管理目標,訂定本政策。
二、適用範圍:
本公司全體人員、業務往來單位、委外服務廠商、訪客及使用本公司資訊服務之使用者等。
三、政策要求:
為落實相關法令之遵循,確保管理制度之有效性,凡違反管理制度相關程序規範者,依相關規定審議懲處。
四、責任:
任何危及資訊安全與個人資訊保護之行為,將視情節輕重追究其民事、刑事及行政責任。
資通安全政策
為使本公司業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:
- 落實資通安全管理系統執行。
- 有效管理資訊資產,持續執行風險評鑑,並採取適當之防護措施。
- 保護資訊及資通系統避免受到未被授權的存取,保持資訊及資通系統的機密性。
- 防護未經授權的修改以保護資訊及資通系統之完整性。
- 確保經授權之使用者當需要時能使用資訊及資通系統。
- 符合法令與法規要求。
- 評估人為或天然災害之影響,訂定核心資通系統之復原計畫,確保核心業務可持續運作。
- 落實資通安全教育訓練及新進人員資安宣導,以提高員工之資通安全意識。
- 落實人員辦理業務涉及資通安全事項之獎懲機制。
- 落實委外廠商管理,以確保資通服務之安全。
- 落實稽核執行及管理審查流程,以達致資訊安全管理制度之持續改善。
- 推動資安防護整合,強化資安聯防及情資分享。
資通安全目標區分為量化型及質化型目標:
- 量化型目標:(項目:比率/頻率;地點:全部)
- 資通系統可用性:99.9%/年。(中斷時數/總運作時數≤ 0.1%)
- 知悉資安事件發生後,於規定的時間完成通報、應變及復原作業的比率:100%。
- 電子郵件社交工程演練之郵件開啟率:低於4%。
- 電子郵件社交工程演練之郵件附件點閱率:低於2%。
- 辦理社交工程演練計畫及作業:1次。
- 辦理資安及社交工程教育訓練:1次。
- 「全球資訊網」發生資料遭竄改之資通安全事件:≦2次/年。
- 帳號權限管理未授權事件:≦1件/年。
- 辦理滲透測試及弱點掃瞄作業:1次/3年。
- 辦理資訊安全稽核:1次。
- 辦理系統復原演練:1次。(Oracle、生產管理系統、Hyper-V)
- 質化型目標:
- 適時因應法令與技術之變動,調整資通安全維護之內容,以避免資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
- 達成資通安全責任等級分級之要求,並降低遭受資通安全風險之威脅。
- 強化委外廠商之選任、監督、管理,嚴格審視委外契約,建構安全服務通道,確保供應鏈關係之資通安全。
- 提升人員資安防護意識、有效偵測與預防外部攻擊等。
具體管理方案
- 網路資安管控
- 架設防火牆(Firewall),並維護防火牆政策。
- 定期對電腦系統及資料儲存媒體進行病毒掃瞄。
- 進行電腦系統軟體盤點及安全性更新。
- 各項網路服務之使用應依據資訊安全政策執行。
- 定期覆核各項網路服務項目System Log,追蹤異常情形。
- 資料存取管控
- 電腦設備應專人保管,並設定帳號與密碼。
- 依據職能分別賦予不同存取權限。
- 人員離職須取消原有權限,調職人員調整應有權限。
- 設備報廢前應清除或覆寫儲存媒體內容。
- 遠端登入系統應經適當之核准及給予適當存取權限。
- 應變復原機制
- 每年檢視資安政策、資安防護及緊急應變計劃。
- 每年進行系統復原演練。
- 建立系統備份機制,落實異地備份存放。
- 檢討電腦網路安全控制措施並給予適當調整。
- 宣導及檢核
- 隨時宣導資訊安全資訊,提升使用者資安意識。
- 每年執行資通安全檢查並檢討是否需要改善及追蹤。
本委員會成員之任期與委任之董事會屆期相同,最近年度資訊安全委員會開會2次(A),出席情形如下:
職稱 | 姓名 | 實際出席次數(B) | 委託出席次數 | 實際出席率(%)(B/A) | 備註 |
---|---|---|---|---|---|
召集人 | 蘇美琍 | 2 | 0 | 100.00% | 無 |
委員 | 何奕達 | 2 | 0 | 100.00% | 無 |
委員 | 謝宛娟 | 2 | 0 | 100.00% | 無 |
.
開會日期 | 期別 | 議案內容 | 決議結果 |
---|---|---|---|
2023-11-09 | 第二屆第一次 | 報告本公司 2023年資安工作執行情形及2024年工作規劃。 |
本案洽悉。 |
2023-05-11 | 第一屆第四次 | 訂定本公司「資通安全管控指引」。 |
審議後照案通過。 |
開會日期 | 期別 | 議案內容 | 決議結果 |
---|---|---|---|
2022-11-10 | 第一屆第三次 | 2022年資安工作報告與2023年資安工作計畫。 |
同意洽悉。 |
2022-03-10 | 第一屆第二次 |
|
|
開會日期 | 期別 | 議案內容 | 決議結果 |
---|---|---|---|
2021-11-10 | 第一屆第一次 | 報告本公司2021年資安項目執行情形及後續規畫,相關內容簡述如下:
|
同意洽悉。 |