資通安全管理

1. 情報セキュリティリスク管理体制

  1. 当社の情報セキュリティ権限組織は行政部であり、並び情報セキュリティ責任者および情報セキュリティスタッフを置き、当社の情報セキュリティポリシーの策定、情報セキュリティ対策の計画および関連する情報セキュリティ業務の実行を行い、当社のセキュリティガバナンスの状況は定期的に取締役会に報告、最新の報告日は2023年12月21日となります。
  2. 当社の監査室は、情報セキュリティの監督部門であり、監査責任者及び常勤監査スタッフを置き、内部情報セキュリティの実施状況を監督しており、監査において不備が発見された場合、被調査部門は関連する改善計画を直ちに提案して取締役会に提出する必要があり、且つ内部の情報セキュリティリスクを軽減するため、定期的に改善結果を追跡する必要があります。 毎年、会計士による情報運用監査を実施し、不備が発見された場合には改善措置を講じ、改善結果を追跡します。

2. 情報セキュリティポリシー

  • 当社の各種情報管理システムを効果的に運用・導入するとともに、重要な情報システムのセキュリティを維持し、情報システムや機器ネットワークの安全な保守・運用を確保し、持続可能な運営を実現します。

3. 具体的な管理計画

  1. コンピュータ機器のセキュリティ管理
    1. 当社のコンピュータホスト、それぞれのアプリケーションサーバー、その他の機器はすべて専用のコンピュータルームに設置されており、コンピュータルームへの入退室管理はカードの読み取りによる入退室管理が行われており、入退室記録は保存調査確認のために保管されています。
    2. 電算機室には、コンピュータの稼働を適切な温度環境に保つための独立空調設備を備え、一般火災及び電気火災に対応した化学消火器を設置しています。
  2. ネットワークセキュリティ管理
    1. ネットワーク制御を強化し、外部ネットワークの入り口に企業レベルのファイアウォールを設定し、ハッカーによる不正侵入をブロックします。
    2. 会社のイントラネットにリモートでログインしてデータにアクセスする同僚は、データベースVPN アカウントを申請する必要があります。安全な VPN 方式でログインでき、すべての使用記録は監査のために残されます。
  3. ウイルスの保護と管理
    1. エンドポイント保護ソフトウェアがサーバーや同僚の端末コンピュータ機器にインストールされ、ウイルス コードが自動的に更新されて最新のウイルスを確実にブロックできると同時に、潜在的に脅威となるシステム実行ファイルのインストールを検出して防止できます。
    2. 電子メールサーバーには、ウイルスやスパムがユーザーの PC に侵入するのを防ぐために、電子メールのウイルス対策およびスパムフィルタリングのメカニズムが装備されています。
    3. ウイルス対策システムは、検出または傍受されたウイルスをただちに隔離または削除するだけでなく、感染したコンピューターやリスクにさらされているコンピューターに関するリスクレポートを積極的に発行して、管理担当者が対応する措置を講じやすくします。
  4. システムアクセス制御
    1. 同僚の各アプリケーションシステムの利用は、社内のシステム許可申請手続きにより、担当上司の承認後、情報室がシステムアカウントを作成し、各システム管理者が要求された機能権限を認可し、初めてアクセスすることができます。
    2. アカウントのパスワード設定は、適切な強度と単語数を持ち、英数字と特殊記号を混ぜ合わせることにより、初めて認可されます。
    3. 同僚が退(休)職手続きをする場合は、管理部門に連絡して各システムのアカウントを削除する必要があります。
  5. システムの持続可能な運用を確保
    1. システムバックアップ:クラウドバックアップシステムを確立し、日次バックアップの仕組みを採用し、システムとデータベースのコピーを国際クラウドにアップロードするほか、コンピュータ室にコピーを保管することで、絶対的なセキュリティを確保します。
    2. 災害復旧訓練:各システムは年に1回訓練を実施し、復旧日の基準点を選択した後、バックアップメディアをシステムホストに復旧し、ユーザー部署は、バックアップメディアの正確性と有効性を保証するために、復旧データの正しさを書面で確認します。
  6. セキュリティの推進と教育訓練
    1. 定期的な広報: アカウントのセキュリティを維持するために、同僚にシステム パスワードを定期的に変更するよう要求します。
    2. 講演会と広報:社内の同僚を対象に、情報セキュリティに関する教育と研修を毎年随時実施しています。
  7. 当社の情報セキュリティ管理者および担当者は、既に中華民国情報ソフトウェア協会に参加し、情報セキュリティ協会での常時対話の交流を通じて、より関連性の高い新しい知識と経験を学びました。

4. 情報セキュリティ管理へのリソースの投資

  • 情報セキュリティポリシーを実施するために、当社は次のリソースを投資しました:
  1. ファイアウォール、電子メール アンチウイルス、スパムフィルタリング、インターネット動作分析などのネットワークハードウェア機器。
  2. エンドポイント保護システム、バックアップ管理ソフトウェア、VPN 認証および暗号化ソフトウェアなどのソフトウェアシステム。
  3. 複数回線、クラウドバックアップサービス、侵入防御サービス等の通信サービス
  4. 毎日のシステムステータスチェック、毎週の定期的なバックアップとバックアップメディアのオフサイトストレージ、毎年の情報セキュリティ教育コース、毎年のシステム災害復旧訓練、毎年の情報サイクルの内部監査、会計監査などの人的資源を投資する。
  5. 情報セキュリティ人的資源:情報セキュリティアーキテクチャの設計、情報セキュリティの維持監視、情報セキュリティインシデントの対応と調査、情報セキュリティポリシーの見直しと改訂を担当する情報セキュリティ責任者と情報セキュリティ担当者の2名を設置する。
  6. 今年度は、情報セキュリティ保守計画の実行の有効性を確認するため、情報セキュリティ管理検討会議を2023年12月26日に開催します。