資訊安全管理
  • 資訊安全組織架構
    本公司自2018年1月調整資訊安全委員會組織架構,改由各單位最高主管擔任成員,定期舉行會議制定與檢討資訊安全管理目標、政策及流程。為落實資訊安全管理政策有效推動,故成立資訊安全工作小組、內部審計小組,由各職能部門的資深管理人員擔任,以促使公司業務持續穩健運作。具體如圖1所示:

  • 資訊安全政策
  • 資訊安全策略聚焦於資訊安全治理、法律法規遵循及科技運用三個面向來進行,從制度到技術,從人員到組織,全面提升資訊安全防護能力。為強化資訊安全管理,除了用最嚴謹的資訊安全要求規劃網路架構外,本公司所訂立之資訊安全政策為「維護公司之資訊機密性、完整性、可用性,避免當發生人為疏忽及蓄意破壞時,導致資產不當的使用、洩漏、篡改、損毀、遺失等情形發生,或因自然災害導致資產不可用的情形,從而影響業務連續性運行甚至損失公司利益」。從資訊安全策略、應變機制、軟硬建設等方面,掌控資訊安全事件的發生機率。

  • 資訊安全風險管理
  • 公司積極的規劃部署資訊安全措施,不斷改善資訊安全環境,以降低資訊安全風險。管理上從政策制度、組織職責、人力安全、文件管控、資產管理、通訊與作業管理、訪問控制、實體環境、系統開發與維護、營運持續管理、資訊安全事件管理、法規遵循等方面制定相關管理規範;技術上部署防火牆、入侵檢測系統、郵件安全系統、操作系統自動偵測及更新、病毒防護系統、郵件安全系統、網路准入系統、安全監控系統及弱點掃描系統等。每年年底資訊安全委員會對資訊安全運作狀況、風險控制及事件改善進行評審,用以控制及降低資訊安全風險。公司至少每年組織一次內審及管理評審,且每次間隔不得超過12個月,以此來檢查有無資訊安全風險,並及時採取糾正和預防措施,為實現業務的持續運行提供保障。具體見下圖2、圖3。

  • 員工資訊安全訓練
  • 公司在新人入職時進行基本的資訊安全教育訓練。對在職人員通過定期的資訊安全教育訓練、公告、影片倡導強化員工的資訊安全意識。對內部資訊稽核發現的問題,透過矯正預防流程即時進行資訊安全管控,立即進行資訊安全通報,強化公司資訊安全成熟度,提高員工防範外部惡意攻擊的意識等,為公司生產經營活動提供資訊安全保障。

  • 本公司2019年未發生任何衝擊公司營運的重大網路攻擊事件。

如您有進一步的問題或對臻鼎有任何建議,請將您的問題或建議寄至
zdt-contact@ebo1982.cn,謝謝。