組織架構

公司組織圖

org 2021v1

 

風險應變管理架構

org 2021v1

資訊安全風險管理

本公司為提升整理之資訊安全,於110年8月5日董事會中報告資訊安全專案,並經董事會通過「資訊安全政策」暨由董事長擔任召集人,成立「資訊安全推動小組」,成員包含稽核室、資訊部、及本公司各單位協作同仁。明確宣示維護資訊安全之重要性,並依據ISO27001之運作模式,建立資訊安全管理體系,以強化資訊安全管理和持續提昇資訊資產之機密性、完整性及可用性,落實推動資訊安全管理作業。

每年至少召開一次審查會議,若發生重大資訊安全事故時可立即召開,具體管理方針如下:

 

  1. 資訊安全管理體系應成立適當組織,執行資訊安全管理作業,確保遵循法令法規,並維持資訊安全管理體系維運之正常運作。
  2. 工作分派應遵守職能分工,職務責任範圍應予區分,以避免資訊或服務遭未授權修改或誤用。
  3. 所有人員(係指正職同仁、約聘雇人員、委外廠商及外包人力等)凡其使用本部資訊以提供資訊服務或執行專案工作等,均有責任及義務保護其所取得或使用本部之資訊資產,以防止遭未經授權存取、擅改、破壞或不當揭露。
  4. 有人員有責任保護客戶資料,包含交易資料與基本資料,禁止未授權的情況下接觸、使用或是將該資訊揭露、告知予與業務無關之同仁、廠商及其它客戶。
  5. 應強化電腦資訊實體環境的安全保護,如機房門禁、空調、不斷電設備等,避免資訊、資產遭未經授權存取、損害或意外災害,影響營運活動正常運作。
  6. 所有人員不得私自串接外部網路與本部內部網路,應設置必要之安全設施以保護內外部網路。
  7. 系統開發應於初始階段考量安控機制之佈置,委外開發部分應強化控管及合約之資訊安全要求,系統開發、修改及建置應遵循資訊安全管理規範。
  8. 所有人員對於有發生安全事件、安全弱點及違反資訊安全管理體系實施規範與管理要點之虞者,應隨時保持警戒,並依程序進行通報。
  9. 應依業務需求考量資訊安全持續性,制定營運持續計畫,並定期測試演練,維持其適用性。

 

本公司業於民國110年12月21日通過ISO27001之審查,於111年1月核發證書,預計111年2月舉行授證儀式。