風險管理

1.建置資訊安全風險管理架構

因應企業轉型暨提升資訊安全管理,福裕已成立專責資訊安全組織,負責製修資安政策,規劃、協調與執行資訊安全防護措施,執行資訊安全風險評鑑與管理,擬定完整的資訊安全計畫,並逐年推動資訊安全管理與解決方案。

本公司資訊安全審核與決策組織為總管理處,負責審查與決議資訊安全管理相關事項。下設資訊安全室,由資訊安全長擔任召集人,其轄下至少設置一名資安主管與一名以上專責資安人員,定期檢視政策及目標及規劃、建置及監控資訊安全規則之遵循。

2.資訊安全政策

資訊安全目標為維護本公司客戶資料與營業資訊等機敏性資料之機密性、完整性與可用性,藉由全體同仁、內外部 資訊服務使用者與第三方委外服務提供者,共同努力來達成下列政策目標:

  • 1.依循各項法令法規要求,保護本公司之資料機密,避免未經授權的存取、擅改、破壞或不當揭露。
  • 2.保護本公司營業活動資訊,避免未經授權的存取或揭露,並確保各項營業資訊之正確性。
  • 3.建立完整之營運持續計畫及資訊安全事件管理程序,以確保事件妥善回應、控制與處理,並定期演練,以確保資訊系統或資訊服務持續運作。
  • 4.依據個人資料保護法與智慧財產法之國內外相關規定,審慎處理及保護個人資訊與智慧財產權。
  • 5.定期執行資訊安全遵循性審查作業,檢視資訊安全管理制度之落實。
  • 6.全體員工隨時保持高度資訊安全意識,各級主管應負起資訊安全監督管理與訓練之最終責任,並透過管理審查、風險評鑑、內部稽核、教育訓練與資訊安全演練等各項活動,達成 降低資訊使用風險之目標。
  • 7.本公司所有同仁均須遵循資訊安全政策、管理辦法及標準程序,違反資訊安全政策與相關規範,依相關法規或本公司規定辦理。

3.資訊安全具體管理方案

擬定資安計畫以逐年推動資訊安全政策,導入資訊安全制度與流程規範,並持續架構完整資訊安全技術防護措施。

具體管理方案規劃以「內外區隔」、「強身健體」、「見微知著」、「智慧安防」、「行為分析」5個目標,「IT治理」、「資料與設備防護」、「網路與系統管控」、「邊界防禦」4個構面,逐步達成。

具體管理方案包含:

  • 1.依資訊資產機密等級,執行適當之存取授權與保護,以降低曝險。
  • 2.持續導入先進資訊安全解決方案,以有效保護與管理系統、主機與網路行為。
  • 3.定期舉辦教育訓練,宣導資訊安全新知,提高員工資訊安全意識。
  • 4.定期針對重要系統進行災難備援演練,在災害發生時,能迅速恢復營運,確保公司營運持續能力。
  • 5.評估與改善端點、伺服器與網路設備的保護能力,並引進第三方專業服務。
  • 6.未來資安工作重點在於防止研發、製造智財權自網路洩漏,保護產線設備免於駭客攻擊,建構快速回應資安事件的能力,以因應工業4.0全面數位化所帶來的挑戰。
  • 7.全面性建構企業組織的資訊安全管理體系的機密性、完整性及可用性,並依「事前預防」、「事中監控」、「事後應變」等不同面向的管理規劃,協助企業持續強化資訊安全管理。