組織架構

公司組織圖

                                                                                                                                         1

 

 

                                                                                                              

                                                    

  

 

風險應變管理架構

org 2021v1

資訊安全風險管理

本公司業經董事會決議,為有效管理及妥善維護電腦資訊環境,確保資訊使用及作業的機密性、完整性與可用性,並落實個人資料之保護與管理,依照相關且適用之法令法規規劃制度,使相關人員執行作業有所依循,以降低任何資訊安全或個人資料侵害事件所可能帶來之衝擊,特制定「資訊安全暨個人資料保護政策」。為落實資訊安全暨個人資料保護,由董事長擔任召集人成立「資訊安全暨個人資料保護管理推動小組」 ,依據ISO 27001:2013資訊安全管理國際標準及ISO 27701:2019個人資料管理國際標準,建立資訊安全暨個人資料保護管理體系,強化並落實資訊安全暨個人資料保護管理作業。並於導入期間完成取得以下認證:

 

  1. ISO27001 國際認證,證書有效期為2023年01月19日至2025年01月10日。
  2. ISO27701 國際認證,證書有效期為2023年11月27日至2025年10月31日。

 

  具體管理方針:

      本公司依據ISO 27001:2013資訊安全管理國際標準與ISO 27701:2019個人資料管理國際標準之PDCA循環運作模式,遵循以下三點:

      1. 成立適當組織,確保遵循資訊安全及個人資料保護管理規範及相關法令法規。

      2. 資訊資產授權管制使用、予以適當保護並維持正常運作。

      3. 所有人員負有責任及義務保護資訊資產(含個人資料)。

 

  投入資訊安全及個人資料保護管理之資源:

      1. 為了建立人員資訊安全認知,每年定期舉辦資訊安全及個人資料保護教育訓練。(每年至少一次教育訓練)

      2. 為了確保服務或系統持續運作,每年定期執行營運持續演練及個人資料侵害事件演練。(每年至少一次營運持續演練及個人資料侵害事件演練)

      3. 為了提升網路安全,每年定期檢視服務及系統防火牆狀況。

      4. 為了防止遭受病毒危害,防毒軟體持續更新病毒特徵碼。

      5. 每年定期執行風險評鑑,針對高風險項目進行改善作業。

      6. 每年定期執行弱點掃描、滲透測試,針對弱點項目進行修補作業。

      7. 每年召開資訊安全暨個人資料保護管理審查會議,確保資訊安全及個人資料保護管理執行符合相關法規或法令之要求。(每年至少一次管理審查會議)