風險管理

首頁»投資人服務»公司治理»風險管理

資訊安全風險管理架構及管理方案

  • 1.資訊安全風險管理架構
  • 資訊安全風險管理架構

  • 2.資訊安全風險管理架構及管理方案
  • 本公司針對資安風險建立一套資安系統進行管理,對內成立風險管理的組織架構,管理資訊中心隸屬總管理處並為資訊安全管理之執行單位,風險管理組織由總管理處副總與管理資訊中心最高主管擔任計畫委員會,並由實際執行資安計畫之成員共同組成,委員會下設置資訊安全經理,由管理資訊中心執掌資安管理之經理擔任,組織團隊包含資訊安全制度建置小組、資訊安全技術建置小組與資安稽核小組;資訊安全制度建置小組負責制定與維護各項資訊安全管理制度;資訊安全技術建置小組執行資訊安全系統建置,包含網路管理與系統管理;資訊安全稽核小組配合公司稽核單位進行資訊安全稽核工作,包含內部稽核與外部稽核。資訊安全風險管理組織為PIS(Proprietary Information Security)之子單位,並於每半年配合PIS會議進行資訊安全報告與與資安政策檢討。
  • 資訊安全政策參照資安管理系統認證之要求標準進行制定,並針對各項資訊系統服務建立風險管理系統,針對資安與網路風險以風險評估之流程進行風險評估,以風險之影響等級與發生機率,進行風險之管控,並針對評估後之高風險系統進行對應的管理機制,建立高可用性之高可靠度架構(HA)、資料備份(交易紀錄、差異備份、完整備份)、異地主機備援機房設置等,以確保服務不中斷,並建立專線,將備份資料送往異地保管存放,每半年進行系統切換演練,以確保備援機制之正常運作,並能符合系統復原目標。
  • 公司亦投保資安保險,針對各種資安風險提供保障;對於各種重大資安事件之影響與對應處置措施均已訂定相關規定,提供員工進行資安事件發生之對應處置參考依據,公司亦將資安作為重點項目宣導,每年PIS都會有相關課程與宣導,以提升公司員工對於資安風險的危機意識,公司並定期進行資安風險稽核,以確保公司之資安風險管理機制確實運作。