勞雇實施相關資通安全管理

資通安全管理

資通安全風險管理架構
1.風險評估與監控

為確保公司資通安全,會持續評估公司資訊系統及資料庫的風險,以及監控外部攻擊和內部網絡行為,並建立偵測和防範系統。

2.資訊安全政策

本公司係有制訂資訊安全政策,以管理、保護公司的資訊資源,包括但不限於客戶數據、交易數據等敏感信息,並在公司內部普及。

3.存取控制

本公司嚴格控制資訊系統和資料庫的存取權限,確保僅授權人員可以訪問和使用公司的資源。此外,會定期審核員工的存取權限,以確保系統和資料庫的安全性。

4.安全培訓和測試

本公司會定期舉辦資訊安全培訓,以加強員工對資訊安全的意識和知識,並且會進行漏洞掃描和測試,以確保系統和資料庫的漏洞得到及時修復。

5.事件應對和復原

在發生資訊安全事件時,本公司會立即啟動應急計劃,迅速處理事件,最大限度地減少損失。同時也會制定復原計劃,以盡快恢復系統和資料庫的正常運行。


資訊資通安全政策
本公司係有制定了資訊資通安全政策,以管理、保護公司的資訊資源,包括但不限於客戶數據、交易數據等敏感信息,並在公司內部普及。
1.保護客戶隱私

本公司非常重視客戶隱私保護,在收集、使用和儲存客戶個人信息時,我們會嚴格遵守相關法律法規和內部管理制度,確保客戶數據的安全和保密。

2.保護公司資源

本公司確保公司資源,包括但不限於交易數據、財務信息、人力資源等敏感信息的安全,並持續評估和管理資訊資通安全風險。

3.保障系統可靠性

本公司致力於維護系統運行的可靠性和穩定性,並確保系統的高效運行和及時更新,以滿足客戶的需求。

4.保障公司形象

本公司認為資訊資通安全是公司的核心競爭力之一,將竭盡所能保障公司的形象和聲譽,並為客戶提供最優質的服務體驗。


具體管理方案及投入資通安全管理之資源
1.資訊資通安全管理方案

安全體系建構:建立資訊安全體系,包括安全策略、安全規範、安全標準、安全流程、安全管理、安全應急等方面。
網絡安全:建立網絡安全管理體系,包括網絡設備管理、網絡接入管理、網絡流量控制等措施,保障網絡系統的安全運行。
應用安全:建立應用系統安全管理體系,包括系統開發管理、系統上線管理、系統維護管理等,保障應用系統的安全運行。
安全檢測和評估:每年定期進行內部資訊安全檢測和評估,發現和處理資訊安全問題,保障公司的資訊安全。
安全培訓與教育:定期每年開展資訊安全培訓和教育,提升員工安全意識,強化安全防範能力。


2. 2023年度投入資通安全管理之資源

(1)資訊安全委員:由具有相關背景的行政管理處資深副總擔任資訊安全專責主管,督導資訊安全及網路安全策略,以及設置1名資訊安全專責人員,負責資訊資通安全管理,並提供專業的資安技術支持和建議。
(2)資訊安全委員會定期開會,年度開會時數累計達24小時以上。每年固定提撥資安優化預算,進行資訊資通安全技術改造,更新、升級安全設備和系統,提升資訊安全防護能力。
(3)執行1次資訊災難還原演練。
(4)執行3次電子郵件社交工程,且參與教育訓練人數達100%。
(5)新增建立IST資訊安全端點系統,投入相關的軟資源,實現對資訊安全的全面監控、分析和管理。
(6)執行1次內部資訊安全檢測和評估並諮詢第三方建議。