公司治理
資訊安全管理

        為提升資訊安全管理,成立嘉彰資訊安全推動組,資安推動組成員包含資安教育組、資安風險組、資安調查組、資安程序組。 資訊安全推動組負責審查嘉彰資訊安全管理策略與發展方向,監管嘉彰資訊安全管理運作情形,定期召開資訊安全管理審查會議,定期向高層主管報告資安治理概況。

        資訊安全管理之目標,係為確保本公司資訊資產的合法存取,於可能遭受外力入侵時,亦能提供完整、未中斷之資訊系統運作;於事故發生時,作迅速必要之應變處置後,能在最短時間內回復正常運作,以降低該事故可能帶來之損害與損失。資訊安全委員會定期評估人為災害、天然災害對公司資訊資產之影響,並訂定重要資訊資產及關鍵業務之災害緊急應變計畫,以確保公司業務持續運作。

        鑒於目前資訊安全新興威脅,如惡意軟體、DDoS攻擊、勒索軟體、社交工程攻擊、竊取資訊等資訊安全威脅項目,資訊安全推動組持續關注資訊環境變化趨勢,參考外部專家意見或技術期刊,擬定資訊安全應變計畫,每年定期執行資安事件應變演練,強化公司同仁資安意識,強化公司資安應變能力。  

1.資安政策:

        嘉彰的資訊安全策略是從人員管理、組織管理、制度管理、科技管理中提升資訊安全防護能力,嘉彰資訊安全推動組透過推動教育規範、監督管理、定期稽核及異常處理等流程,落實嘉彰資訊安全治理。

2.資訊安全推動組組織架構: 

3.實施內容與投入資源: 

項次 管理方案 項目 投入資源 管理作業
強化網路防火牆與網路控管 防火牆設置 購置防火牆硬體
持續簽訂維護合約
架設內部防火牆,加強安全防範機制
軟體新版本及時更新
專人定期監控防火牆狀況及 LOG 分析
網路管控 購置網路管控設備 Mac Address鎖定,非公司設備不可使用網路
限定網頁存取
專人監控網路流量及網頁
外賓使用獨立網路區段
弱點偵測及滲透測試 委外維護 外部資安顧問協助
資安風險組定期進行偵測
建置端點防毒措施 防毒及防駭 防毒軟體版本持續更新 自動軟體更新設定
防毒軟體採購及更新
定期病毒及木馬防治宣導
郵件主機管控 主模組不定期更新
持續維護合約
垃圾郵件過濾
惡意郵件偵測
導入電子郵件SSL憑證
導入新技術加強資料保護及備份 密碼管控 購置密碼管理軟體並每年持續維護更新 定期密碼變更 ,主動提示
密碼強度設定
加強遠端登入驗證,結合手機 APP 登入
軟體管控 購置程式管理軟體並每年持續維護更新 使用者無法安裝軟體
使用合法版權軟體
資料管理 每年持續簽訂維護合約 自動備份作業
異地備份作業
定期執行備份資料還原演練
使用者個人重要資料備份
持續員工資安意識強化 教育訓練及宣導 教育訓練,每年一次以上 新進人員公司資安規範教育訓練
定期資安教育訓練
調職人員帳號及時處理
離職人員帳號及時處理

 

4.資通安全內部查核 

        每年會進行資訊安全外部審查作業,並依審查結果進行改善作業。本公司稽核每年執行一次資訊循環查核作業,其中資通安全為必要查核項目,並會將查核結果向審計委員會及董事會報告。