關於國建
公司治理
一、資訊安全政策
1. 對象:本公司全體同仁及其他得接觸本公司業務相關資訊之合作夥伴、委外廠商。
2. 範圍:本公司所有資訊資產,或其他本公司未實際所有,但基於合約、法律及法規所賦予之責任而可支配之資訊資產。
二、資訊安全風險架構
本公司已設置資訊安全長,綜理資訊安全政策推動及資源調度事務。並設置資訊安全專責單位負責資訊安全相關工作,定期檢討修正「資訊安全政策」、每年執行情形並於每年召開「資訊安全管理審查委員會」,以確保公司、客戶機密資訊不外漏、公司業務永續運作。稽核室將「資通安全檢查作業」納入年度稽核計劃進行查核作業,受稽單位並依照缺失進行改善及追蹤,以落實公司資訊安全政策。
定期進行資訊資產盤點、資訊風險評鑑及處理,以降低資安風險。
三、資訊安全政策目標
建立安全及可信賴之資訊作業環境,確保資訊資產之機密性、完整性及可用性,並提昇同仁對資訊安全認知,以保障員工、客戶與本公司之權益。
四、資訊安全控制措施
| 項目 | 具體作為 |
|---|---|
| 機房安全管理 | 不定期主機及對外網站弱點掃描及改善。 |
| 裝置安全管理 |
|
| 持續改善 |
|
| 系統營運持續演練 | 定期進行核心系統營運持續模擬演練及檢討。 |
| 內外部稽核 | 內部稽核每年兩次及會計事務所每年至少一次針對資訊安全政策、組織及權責、資產分類控制、人員管理及教育訓練、實體及安全環境管理、電腦系統安全管理、網路安全管理、系統存取控制等進行查核。 |
五、113年辦理資訊安全宣導執行情形
1.本公司113年完成ISO27001續評驗證,證書效期間至114年10月。
2.本年度已辦理異地系統營運持續演練及2次社交工程演練,並進行社交工程1小時資安宣導教育訓練,以加強員工對於資訊安全風險之應變與警覺性。
3.完成地產集團資安聯防及檢視,持續改善中。