公司治理運作情形
資通安全組織管理
資通安全風險管理架構
力領科技於113年9月成立「資訊安全委員會」,由總經理擔任召集人,下設資訊安全應變中心與資訊安全執行小組,負責資訊安全管理、規劃、督導及推動執行。資訊安全委員會每年定期開會,審查公司資訊安全管理相關事宜及檢討資訊安全政策執行情形,並向董事會報告查核結果;另外力領科技自112年加入台灣電腦網路危機處理暨協調中心(Taiwan Computer Emergency Response Team / Coordination Center,TWCERT / CC),掌握可能之資安事件或漏洞,及早預防、改善與管理。
資訊安全組織架構與工作職掌:
- 資訊安全委員會:由總經理擔任召集人;下設資訊安全應變中心與資訊安全執行小組,負責資訊安全管理制度相關事項之決議執行。
- 資訊安全執行小組:由資訊安全委員會召集人指派人員組成,負責規劃及執行各項資訊安全作業。
- 資訊安全應變中心:針對非預期資訊安全事件,建立相對應的解決辦法,收集軌跡與事件鑑定及「風險改善計畫」彙整與控管,持續追蹤至完成改善為止。
- 資訊安全稽核小組:由資訊安全委員會指派或由第三方協助執行,負責評估資訊安全管理制度之執行情形。
力領科技資訊安全管理係透過建置相關資訊安全管理措施並進行相關風險評估,執行資訊安全政策,宣導資訊安全訊息,提升員工資安意識,蒐集及改進組織資訊安全管理系統績效及有效性之技術、產品或程序等。
資通安全政策及具體管理方案
力領科技在資通安全風險控管上,已訂定相關管理辦法以規範公司資訊安全,為公司建立與維護一個安全的資訊系統環境,包含網際網路及電子郵件使用、密碼設定、軟體安裝等作業,制定相關之資通安全管理政策,並積極監控網路流量,針對異常狀況立即予以處置。對於員工之教育訓練,不定期進行資通安全宣導,建立危機意識;稽核室每年對公司資通安全檢查作業進行稽查,以了解資安運作狀況,評估對各項風險控制及異常事項之改善是否確實,以降低及避免相關資安風險。
採取之主要管理措施如下:
A. 定期執行資訊安全宣導,提醒員工遵守資安規範。
B. 重要系統資料定期備份及異地備份。
C. 強化網路防火牆與網路控管。
| 管理項目 | 施行措施 |
| 資訊安全政策與教育訓練 |
|
| 網路安全管理 |
|
| 系統存取控制 |
|
| 終端設備管理 |
|
| 資料保護 |
|
| 資訊安全事故管理 |
|
投入資通安全管理之資源
資訊安全委員會每年定期開會,最近一次已於113年9月20日,審查及檢討執行情形,最近一次提報董事會日期為113年12月18日。113年度資訊安全事件並未影響營運、商譽。
113年度執行情形︰
(1)資通安全教育訓練,透過資訊安全宣導(113年度共計發布12次)與社交工程演練(113年度共計2次)提升同仁資訊安全意識。
(2)網路環境存取依據作業需求與安全等級,有效區隔網路環境存取控制。
(3)終端設備資訊安全管控,包含軟、硬體資產盤點、端點防護軟體(防毒)與資料外洩防護。
(4)進行資訊系統弱點掃描(113年度共計1次),並針對弱點進行漏洞修補。
(5)定期排程進行資料保全備份,包含電子檔案、文件、郵件、伺服器作業環境、個人電腦、網路設備。
(6)資訊安全委員會每年定期開會(113年度共計1次),審查公司資通安全管理相關事宜及檢討資通安全政策執行情形。