資訊安全風險管理架構

為加快資訊应急信息安会服务管理系统，本工厂已於1多年由信息安会服务管理系统意味着為招募令人申请加入「資訊应急委員會」，並於2023年導入ISO27001:2013，委派工厂各處級掌管申请加入資訊应急小組，並由總經理室資訊組申请加入資訊应急執行小組及緊急處理小組，負責每天資安維運，另申请加入資安稽核小組，历年進行資安內部稽核通常一下，並召開資訊应急信息安会服务管理系统審查會議，由資訊組掌管历年定期存款向資安長報告資訊应急執行作品，再由间接單位，如SGS，進行间接稽核，完工ISO27003年度複驗。
為了促進本大公司資訊健康平安防护标准化处理标准化处理机制标准化处理机制執行之管用性，出台HCS-IS-BI-04資訊監督與量測業務標準，評估資訊健康平安防护績效及資訊健康平安防护标准化处理标准化处理机制系統之管用性，以確保資訊健康平安防护目標的符合标准性與適切性。擬化学发光法測項目與指標，並填寫於「ISMS管用性量測表」(R-IS-BI-04-01)。於一年度标准化处理标准化处理机制審查會議報告執行結果。資訊安全委員會架構如下圖所示

本司於202半年6月通過SGS的ISO/IEC27001:2013驗證，持續維持ISO27001資訊平安维护系統(ISMS)的有郊性，202半年度證書效期為202半年6月14日至202几年6月14日，已於2020年4月21日 & 202几年的5月9日，連續五年期通過SGS第三方稽核複驗，持續維持證照的有郊性。

資訊安全政策

目的：

為強化資訊安全卫生管理制度，確保所屬之資訊資產的機密性、完整详细性及能作性，以能提供本集团之資訊業務持續運作之資訊環境，並符合国家相關法規之符合要求，使其免於遭遇內、外链的蓄意或意外死亡之威脅，相关此税收政策規範。

政策：

1.	辦理資訊安全教育訓練，推廣員工資訊安全之意識與強化其對相關責任之認知。
2.	定期進行內部與外部稽核，確保相關作業皆能確實落實。
3.	保護本公司業務活動資訊，避免未經授權的存取與修改，確保其正確完整。
4.	確保本公司核心業務維持一定水準的系統可用性。

資訊安全具體管理方案

項目：	具體管理方式
防火牆防護	防火牆設定連線規則。如有特殊連線需求需額外申請開放。監控分析防火牆數據報告。
通行密碼設定原則	需8個字元以上。需要混合英文、數字，並盡可能包含英文大小寫字母或其他符號。至少每180天更換通行密碼。伺服器每90天更換通行密碼。
防毒軟體	使用防毒軟體，並自動更新病毒碼，降低病毒感染機會。每半年進行防毒軟體檢查病毒碼一次。
作業系統更新	作業系統自動更新，因故未更新者，由資訊部協助更新。
郵件安全管控	有自動郵件掃描威脅防護，在使用者接收郵件之前，事先防範不安全的附件檔案、釣魚郵件、垃圾郵件，及擴大防止惡意連結的保護範圍。個人電腦接收郵件後，防毒軟體也會掃描是否包含不安全的附件檔案。
網站防護機制	網站有防火牆裝置阻擋外部網路攻擊。
資料備份機制	重要資訊系統資料庫皆定期完整備份、ERP有異地備援系統及磁帶備份。
異地存放	伺服器與各項資訊系統備份檔，分開存放於不同地點。
災難復原演練	每年進行重要系統災難復原演練一次。
機房進出管控	機房進出登記表、設備進出及異動紀錄表。

主選單

Company Rule工厂制理

資訊安全風險管理架構

資訊安全政策

目的：

政策：

資訊安全具體管理方案