公司組織圖

                                                                                                                                                                                                             

 

 

 

                                                   

 

                                                                                                              

                                                    

  

 

風險應變管理架構

資訊安全暨個人資料保護之風險管理

本公司業經董事會決議，為有效管理及妥善維護電腦資訊環境，確保資訊使用及作業的機密性、完整性與可用性，並落實個人資料之保護與管理，依照相關且適用之法令法規規劃制度，使相關人員執行作業有所依循，以降低任何資訊安全或個人資料侵害事件所可能帶來之衝擊，特制定「資訊安全暨個人資料保護政策」。為落實資訊安全暨個人資料保護，由董事長擔任召集人成立「資訊安全暨個人資料保護管理推動小組」 ，依據ISO 27001:2022資訊安全管理國際標準及ISO 27701:2019個人資料管理國際標準，建立資訊安全暨個人資料保護管理體系，強化並落實資訊安全暨個人資料保護管理作業。並於導入期間完成取得以下認證：

 

1. ISO27001 國際認證，證書有效期為2023年01月19日至2025年01月10日 / 2025年01月10日至2028年01月10日。
2. ISO27701 國際認證，證書有效期為2023年11月27日至2025年10月31日 / 2025年01月10日至2028年01月10日。

 

  具體管理方針：

      本公司依據ISO 27001:2022資訊安全管理國際標準與ISO 27701:2019個人資料管理國際標準之PDCA循環運作模式，遵循以下三點：

      1. 成立適當組織，確保遵循資訊安全及個人資料保護管理規範及相關法令法規。

      2. 資訊資產授權管制使用、予以適當保護並維持正常運作。

      3. 所有人員負有責任及義務保護資訊資產(含個人資料)。

 

  投入資訊安全及個人資料保護管理之資源：

      1. 為了建立人員資訊安全認知，每年定期舉辦資訊安全及個人資料保護教育訓練。(每年至少一次教育訓練)

      2. 為了確保服務或系統持續運作，每年定期執行營運持續演練及個人資料侵害事件演練。(每年至少一次營運持續演練及個人資料侵害事件演練)

      3. 為了提升網路安全，每年定期檢視服務及系統防火牆狀況。

      4. 為了防止遭受病毒危害，防毒軟體持續更新病毒特徵碼。

      5. 每年定期執行風險評鑑，針對高風險項目進行改善作業。

      6. 每年定期執行弱點掃描、滲透測試，針對弱點項目進行修補作業。

      7. 每年召開資訊安全暨個人資料保護管理審查會議，確保資訊安全及個人資料保護管理執行符合相關法規或法令之要求。(每年至少一次管理審查會議)