Grape King

公司治理

資訊安全治理

葡萄王生技股份有限公司(以下簡稱本公司)於108年成立「資訊安全暨個人資料管理委員會」,以有效推動與辦理本公司內部資訊安全與個人資料保護管理事項,包括審核資訊安全政策與個人資料檔案安全維護計畫、分配資訊安全與資料保護之責任及協調本公司各項資訊安全措施之實施,以利資訊安全暨個人資料保護管理制度能持續穩健運作,並定期(至少一年一次)向董事會報告。

本公司已於109年5月27日取得ISO27001認證。(有效效期:109/5/27~112/5/27)

組織架構圖

資訊安全管理政策與目標

本公司依據「國際標準ISO 27001」相關規範,並衡酌本公司之業務需求建立資訊安全政策,以強化資訊安全管理,建構資訊資產之安全管理及風險管理,並確保本公司資訊資產之機密性、完整性、可用性符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅。

資訊安全政策每年配合政府法令、環境、業務與技術之變動評估檢討,其修正應經資訊安全暨個人資料管理委員會核定後公告實施。

本公司資訊安全管理目標:

  1. 資訊安全是本公司達成法定任務的要素之一,本公司需維護高度之資訊安全等級,以確保資訊資產的機密性、完整性、可用性。
  2. 維護本公司作業環境資訊安全之一致性,並兼顧資訊安全與資訊分享。
  3. 各項資訊安全管理規定,須符合政府資訊安全相關法令、規定與政策要求。
  4. 所有資訊作業相關措施,須確保本公司資訊之安全,防止敏感性與機密性資料外洩或遺失。
  5. 適當保護資訊資產(含軟體、硬體、網路通訊設施及資料庫等),採行合宜之備援回復設施及作業,防止未經授權或因作業疏忽對資訊資產所造成之損害,並定期演練前項備援回復作業。
  6. 本公司執行之專案,應有適當資訊安全管理措施,以確保相關資訊受到適當保護。
  7. 定期實施資訊安全教育訓練,加強資訊安全政策宣導。

資訊安全風險管理

於推動資訊安全管理制度相關規範時,須全面廣泛地了解本公司全景及利害關係者之需要與期望,以順利界定資訊安全方針。

依據本公司最高管理階層對組織營運宗旨與目標之看法與共識,鑑別本公司使命、核心價值(價值觀)、願景及營運目標,針對核心業務流程及重要工作項目所鑑別出利害關係者的每一項需要與目標,進行分析「當未符合利害關係者的需要與目標」時,可能造成的衝擊情境與等級,以決定是否採取適當之因應對策或接受風險,並透過ISO27001控制條款之風險處理對策,妥善分析處置每一項所鑑別之需要與目標,進行風險管理。

資訊安全委員會同時應考量若未滿足利害關係者之需要與目標時,可能對本公司所造成之衝擊,將各項需要與目標納入資訊安全管理系統(Information Security Management System, 以下簡稱ISMS)實施或驗證範圍,依據本公司資訊安全風險管理相關程序辦法,載明於本公司ISMS「適用性聲明書」中。

資訊安全具體管理方案如下:

  1. 防堵外部資安攻擊:如 威脅郵件統計、惡意網址防範。
  2. 提升員工資安警覺性:如 內部釣魚信件測試員工警覺性、內外部議題及現況訪談,針對高風險項目優先處理。
  3. 防範內部資安威脅:如 文件操作紀錄管制、帳號密碼異常登入分析、外來連線存取紀錄、非認證設備無法連入內網、圖形化主機運作監控、主機異常email主動警告。
  4. 制度面設計:如 訂定ISMS制度並取得認證、資料定期備份、異地備援。

109年度執行情形如下:

  1. 資訊安全治理執行情形已於110年1月14日第19屆第17次董事會報告在案。
  2. 依據本年度ISMS制度導入計畫,已於109年5月27日取得ISO27001認證。