資通安全風險管理

1. 資通安全風險管理架構

    正道工業資訊安全之權責單位為資訊部，該單位設置資訊主管1名，與專業資訊人員2名，負責訂定內部資訊安全政策、規劃資訊安全作業與資安政策推動與落實，以提供可信賴之資訊服務，並持續提升所有同仁之資安意識。為防止公司資訊系統及其資料遭不當使用、洩漏、竄改、破壞等營運風險與危害，依照公司內部「資料處理作業標準」常態任務編組之「資通安全處理小組」，由資訊主管擔任召集人，資訊職員為小組成員，並設置緊急聯絡人1名，主要負責執行資通安全預防、緊急應變處理相關措施。

2. 資通安全政策與具體管理方案

依照公司內部「資訊安全管理程序書」所列資安政策如下，並依此推動資安工作。

• 建立符合法規與客戶需求之資訊安全管理規範
• 保護公司與客戶資訊的機密性、完整性與可用性
• 資訊安全人人有責的共識融入公司文化中
• 提供安全的資訊作業環境，確保公司業務之永續營運

依資安政策所發展的管理主軸共分「制度規範」、「科技運用」以及「人員訓練」。

• 制度規範：本公司訂有資訊系統使用切結書，理級以上主管/特定系統使用者須開放電腦系統管理員權限者須簽立，規範機敏資料、智財權保護規範，會依公司需求適時調整。
• 科技運用：本公司為防範各種外部資安威脅，除採多層式網路架構設計外，更建置各式資安防護系統，例如中控防毒系統、電子郵件過濾系統以提昇整體資訊環境之安全性。
• 人員訓練：本公司每年定期對全體從業員發送2次以上的資訊安全宣導電郵，並針對資安人員每年外派資安相關專業課程12小時以上。

    正道工業定期審視內部資訊安全規範，根據資產價值、弱點、威脅與影響性，分析內部風險，並以此風險評估結果制定安全措施強化項目， 精進且提升整體資訊安全環境。

本公司實施之資訊安全管理措施，包含如下：

3. 投入資通安全管理之資源量化數據

(1)設置人員總數：3人

(2)2023年度投入資通安全資源金額:

(3)2023年資通安全會議:1次