跳到主要內容
:::
熱門服務
:::

資訊安全政策

資訊安全風險管理架構

為提升資訊安全管理,本公司已於106年10月25日成立「資訊安全管理委員會」及指派公司跨處室之資訊安全代表,每季召開資訊安全管理審查會議及資訊安全代表會議。並由資訊處主管每年定期向董事會報告資訊安全執行成果,108年執行情形說明如下:

  • 由總經理擔任召集人,並由營運資深副總經理擔任資安長為管理審查會議主席,每季定期召開會議,審查資訊安全發展方向及策略,使資訊安全管理制度持續穩健運作。
  • 依各處室指派之資訊安全代表,由資訊處系統維運部主管擔任資訊安全管理代表,自107年05月起每季召開「資安代表會議」,審查資訊安全發展計畫、執行成果及宣達相關資訊安全政策與執行要點。
  • 資訊安全治理報告及成果已於109年6月17日第九屆第3次董事會報告在案。

架構圖

本公司每年定期審查資訊安全政策,並已由董事長於109年5月27日簽署本公司資訊安全政策,公告於本公司網站。

1. 本公司訂有「資訊安全管理規範」,保護硬體、軟體、資料及文件、人員等滿足C(機密性)、I(完整性)、A(可用性)、C(法律遵循性),並以持續運作、資安挑戰、適法性三個方向作為架構資訊安全之基礎,逐步完善管理措施。

2. 本公司於108年針對公司營運類資產如維修資訊系統、網路設備等資訊設備,已投保硬體設備電子保險,並透過保全監控作業避免設備被竊或是惡意損毀情事發生。

3. 鑒於資安險為新興保險種類,考量保險範圍、理賠範圍、理賠鑑識、鑑識機構資格等議題綜效,本公司預計於109年進行投保資安險的效益評估作業,但因應資訊安全所面臨的挑戰,如APT進階持續性攻擊(Advanced Persistent Threat)、DDoS(Distributed Denial of Service)攻擊、勒索軟體、社交工程攻擊、竊取資訊等資安議題,已採取以下策略:

  • 每年依公司資訊安全政策持續關注資訊環境變化趨勢,並參考技術文刊資料,擬訂資訊安全防護機制與方案。
  • 每年執行安全性檢測、資通安全健診、社交安全及資安事件演練,強化公司同仁資安危機意識及資安處理人員應變能力,以期能事先防範及第一時間有效偵測並阻絕擴散。
  • 每季對全體同仁執行資訊安全教育訓練、自108年07月起每月執行社交工程演練、及不定期的資訊安全宣導藉以提升同仁的資安意識防患於未然。
  • 制訂資通安全事件通報及應變管理程序因應資通安全事件發生時,可依據不同事件等級進行內外部通報、成立事件處理小組,評估事件影響範圍進行災害控制及後續事件調查等,藉以縮小營運影響範圍、減少營運衝擊時間以維持旅客的權益為優先。

4. 本公司於109年10月通過BSI英國標準協會的換證驗證,持續維持ISO27001資訊安全管理系統的有效性,109年度證書效期為109年12月28日至112年12月27日(原證書有效期為106年12月28日至109年12月27日)。