資安管理委員會
資訊安全風險管理架構
本公司於民國95年8月30日成立資訊安全管理委員會,委員由總經理及各處室主管組成,總經理擔任召集人,營運服務處主管擔任秘書,資訊安全管理委員會每二個月召開一次會議,以了解公司資訊安全狀況並評估討論相關資安議題,作為公司資安政策之調整依循,每年至少一次會向董事會報告公司資訊安全運作情形。【資訊安全管理委員會規程】
109年資訊安全管理委員會運作情形如下:
-
本公司資訊安全管理委員會於95年8月30日成立,委員由總經理及各處室主管組成,總經理擔任主席,營運服務處主管擔任秘書,共計10人,另請稽核室主管列席。
-
委員會每2個月開會一次,109年開會日期及主要議題如下:
|
開會日期 |
主要議題 |
實際參加人數 |
出席率(%) |
備註 |
|
109/2/11 |
1.因應新型冠狀病毒(武漢肺炎)疫情蔓延,營運服務處規劃資訊業務持續營運計畫。
2.修訂6項資訊安全相關管理辦法
|
10 |
100 |
|
|
109/4/14 |
1.金檢查核缺失改善進度說明
2.因應新型冠狀病毒防疫措施,開放員工使用VPN連線至公司內網作業風險說明。
|
10 |
100 |
採用線上會議進行 |
|
109/6/16 |
1.109年5月份發生國內重要企業遭勒索軟體攻擊事件及後續發展說明。
2.金管會建置之金融資安資訊分享與分析中心(F-ISAC)運作及收費方式說明
|
10 |
100 |
|
|
109/8/18 |
1. 會計師事務所半年報資安查核狀況說明。
2. 配合證交所DDoS攻擊演練情形報告
|
8 |
80 |
|
|
109/10/13 |
1. 109年度全公司資安教育訓練籌辦說明
2. 109年度主機弱點掃描作業說明
|
10 |
100 |
|
|
109/12/15 |
1. 109年度社交工程演練狀況報告
2. 檢討109年資訊安全政策是否修正
|
10 |
100 |
|
-
109年委員會議出席情形如下:
|
部門 |
姓名 |
實際出席次數 |
委託出席次數 |
實際出席率% |
備註 |
|
總經理 |
林禎民 |
6 |
0 |
100 |
召集人 |
|
總經理室 |
江韶真 |
6 |
0 |
100 |
|
|
風險管理室 |
陳淑娟 |
6 |
0 |
100 |
|
|
法令遵循室 |
陳立雲 |
5 |
0 |
83 |
|
|
營運服務處 |
姜峰國 |
6 |
0 |
100 |
|
|
財務處 |
謝佩蓉 |
6 |
0 |
100 |
|
|
經紀業務處 |
廖宏彬 |
5 |
0 |
83 |
|
|
資本市場處 |
張煥昌 |
5 |
1 |
83 |
|
|
投資交易處 |
林秀鴻 |
6 |
0 |
100 |
|
|
數位金融處 |
朱良成 |
5 |
1 |
83 |
|
資訊安全政策之訂定及揭露
公司資訊安全政策除了依主管機關之法規要求進行調整,每年也至少一次進行評估是否需要修正補強,同時於公司官網揭露資訊安全政策內容。
【資訊安全政策】
資訊安全具體管理方案
本公司重要資訊設備及系統皆與廠商簽訂維護保固合約,設備皆置於中華電信IDC機房及總公司自建機房,機房設有嚴密門禁保全及環控設施,確保設備不被外力破會或因電力、空調、消防設施異常影響使用。
公司對外服務之系統皆架設防火牆並申請中華電信DDoS防護服務,避免遭受外部攻擊。
公司email系統設置郵件防護機制,避免遭受垃圾郵件、釣魚郵件、社交詐騙郵件的攻擊。
公司每年進行主機弱點掃描、災難備援演練,修補資安漏洞,強化主機安全,確保備援機制能夠迅速啟用及正常轉換。
公司每年進行員工資安教育訓練及社交工程演練,加強員工資安意識,避免因使用資訊設備或上網習慣不良,造成個人的電腦、上網設備受駭,進而破壞公司內網設備。
因新興科技應用越來越廣泛、隨之而起的各種資安事件層出不窮,公司也加入F-ISAC(金融資安資訊分享與分析中心),隨時接收業內或政府的資安情資,進行資安聯防,並交換防護心得,加強資安人員防護技能。
