資訊安全風險管理架構
為推動本公司資訊安全管理,確保資料、系統、設備及網路安全,及保障消費者權益,設置燦星網通永續發展暨風險管理委員會及資訊安全管理推動小組。
資訊安全政策
資訊安全目標為保護本公司之營業資訊等機敏資料之機敏性、完整性及可用性,免於因內部或外部之蓄意或意外之各種威脅與破壞,藉由全體同仁、內外部資訊服務使用者與委外服務提供者,共同努力以達成下列目標。
  1. 確保各項營業資訊之正確性
    建立符合本公司策略、風險、法令、法規及契約要求
  2. 確保資訊系統及服務持續運作
    利用量化指標之管理落實,以確保事件妥善回應、控制與處理,並定期演練。
  3. 提高員工資安意識與降低資訊使用風險之目標
    建置本公司教育訓練計畫,對本公司人員進行定期或不定期之教育訓練,並應公告資訊安全及個人資料保護之重要性及宣導關於ISMS管理系統之權責與義務。
  4. 確保本公司符合資訊安全要求及個人資料保護相關法令及主管機關之要求
    「永續發展暨風險管理委員會」每年至少進行一次管理審查,檢視本政策之執行及落實狀況,以確保本政策及措施之有效性及適宜性。
  5. 落實資訊安全及個人資料保護之重要性及宣導
    建置本公司教育訓練計畫,對本公司人員進行定期或不定期之教育訓練,以期皆能遵循資訊安全政策、管理辦法及標準程序。
資訊安全具體管理方案
  1. 提升資安威脅防護能力:
    電子郵件社交工程演練&電子郵件社交工程資安教育訓練。
  2. 強化資安事件/事故管理:
    集中網路設備存取日誌管理,以利網路行為進行後續追蹤。
    提升人員資訊安全觀念,降低資安事件發生次數:建立新人引導計畫,確保新進用同仁瞭解業務相關之資訊安全相關規定。
  3. 強化軟體授權管理:
    導入資訊資產軟體授權管理系統並禁止使用未經授權軟體。
  4. 網路安全稽核:
    定期獲得系統安全弱點專業檢測報告。
  5. 提升系統及服務可用性:
    建置公司檔案主機及資料備份還原系統。
  6. 資訊資產管理:
    定期盤點資訊資產,以更新及確保資訊資產清單的正確性及完整性。
  7. 存取權限管理:
    定期檢討系統存取特殊權限之核發情形,防止有人未經正式的授權程序取得特殊權限。
  8. 人員管理:
    本公司同仁與往來廠商需與本公司簽訂保密相關管理規範。