風險管理

首页»投资人服务»風險管理

信息安全风险管理架构及管理方案

  • 1.信息安全风险管理架构
  • 信息安全风险管理架构

  • 2.信息安全风险管理架构及管理方案
  • 本公司针对资安风险建立一套资安系统进行管理,对内成立风险管理的组织架构,管理信息中心隶属总管理处并为信息安全管理之执行单位,风险管理组织由总管理处副总与管理信息中心最高主管担任计划委员会,并由实际执行资安计划之成员共同组成,委员会下设置信息安全经理,由管理信息中心执掌资安管理之经理担任,组织团队包含信息安全制度建置小组、信息安全技术建置小组与资安稽核小组;信息安全制度建置小组负责制定与维护各项信息安全管理制度;信息安全技术建置小组执行信息安全系统建置,包含网络管理与系统管理;信息安全稽核小组配合公司稽核单位进行信息安全稽核工作,包含内部稽核与外部稽核。信息安全风险管理组织为PIS(Proprietary Information Security)之子单位,并于每半年配合PIS会议进行信息安全报告与与资安政策检讨。
  • 信息安全政策参照资安管理系统认证之要求标准进行制定,并针对各项信息系统服务建立风险管理系统,针对资安与网络风险以风险评估之流程进行风险评估,以风险之影响等级与发生机率,进行风险之管控,并针对评估后之高风险系统进行对应的管理机制,建立高可用性之高可靠度架构(HA)、数据备份(交易纪录、差异备份、完整备份)、异地主机备援机房设置等,以确保服务不中断,并建立专线,将备份数据送往异地保管存放,每半年进行系统切换演练,以确保备援机制之正常运作,并能符合系统复原目标。
  • 公司亦投保资安保险,针对各种资安风险提供保障;对于各种重大资安事件之影响与对应处置措施均已订定相关规定,提供员工进行资安事件发生之对应处置参考依据,公司亦将资安作为重点项目倡导,每年PIS都会有相关课程与倡导,以提升公司员工对于资安风险的危机意识,公司并定期进行资安风险稽核,以确保公司之资安风险管理机制确实运作。