面對資訊安全推動及風險管理議題,精誠訂有《精誠集團資訊安全政策》、《精誠集團資訊安全管理辦法》等集團資訊安全相關辦法與作業細則。精誠於2023年12月成立「資通安全技術處」作為資訊安全專責管理單位並設立專責主管及專責人員;「資安暨個資危機處理小組」作為風險管理委員會下設任務編組單位,負責處定期向風險管理委員會匯報資安風險管理執行成效;另組成資安Taskforce委員會,其成員包含資安單位、IT部門、法務部門及業務單位等相關主管與同仁共約15人,提供集團事業體與關係企業關於資訊安全管理的顧問諮詢、技術服務和資安教育訓練建議。2023年資安Taskforce委員會共召開12次專案會議。
資通安全技術處除了綜理集團的資訊安全管理事務外,也支援已導入ISO 27001事業單位的資安暨個資事件處理。導入ISO 27001的事業單位都已組成資訊安全管理委員會,建置資訊安全風險管理架構,訂定資訊安全政策及具體管理方案。
資安Taskforce委員會定期召開會議檢視是否發生資安事件,評估該事件對公司造成之影響與風險,提出具體改善計畫並持續追蹤改善情形。精誠在機敏的資訊服務上,每半年執行一次風險評估及相關檢討。2023年延續往年的風險評估作業,並未發現高風險項目,針對中低風險項目則交由相關單位依決定的控制調整進行處理,並列入後續的追蹤及回報作業。
單位 | 角色與責任 |
資通安全技術處 |
|
資安暨個資事件 危機處理小組 |
|
資安Task Force委員會 |
|
更多「精誠資訊安全與隱私保護管理」,請見「資訊安全政策及管理方案」