資訊安全風險管理架構
本公司為確保所屬之資訊資產的機密性、完整性、可用性及適法性,使其免於遭受內、外部蓄意或意外之威脅,並衡酌本公司及其業務需求,特訂定資通安全政策並成立資通安全推動組織統籌資通安全事項推動,本政策依據ISO27001標準規範及上市上櫃公司資通安全管控指引制定,並定期檢視政策與目標並傳達給員工。
資訊安全管理範疇涵蓋
四大控制主題:
組織控制措施、人員控制措施、實體控制措施及技術控制措施
15項資訊安全運作領域:
1. 治理(Governance)。
2. 資產管理(Asset management)。
3. 資訊保護(Information protection)。
4. 人力資源安全(Human resource security)。
5. 實體安全(Physical security)。
6. 系統與網路安全(System and network security)。
7. 應用程式安全(Application security)。
8. 安全組態(Secure configuration)。
9. 識別與存取管理(Identity and access management)。
10. 威脅與弱點管理(Threat and vulnerability management)。
11. 持續性(Continuity)。
12. 供應商關係安全(Supplier relationships security)。
13. 法律與遵循性 (Legal and compliance)。
14. 資訊安全事件管理(Information security event management)。
15. 資訊安全確保(Information security assurance)。
