日期
2022年12月16日
主旨
於111/12/16董會報告公司風險管理政策、程序及資安風險架構。
詳細內容
說明本公司風險管理範疇、組織架構及111年度之運作情形
風險管理政策
本公司風險管理政策在於透過系統化的風險評鑑方
法,釐清資產所可能面臨的風險,藉由風險審查結
果決定資產之可接受風險等級,並針對高於可接受
等級風險資產,控制其風險在網路家庭可接受的程
度以內,確保網路家庭資產之安全,進而達到維持
網路家庭業務持續運作之目的。
風險管理程序
本公司風險管理程序依內部文件辦理
文件名稱:風險管理程序版本:V1.3文件編:
生效日期:20180901
風險管理流程區分為關鍵業務審查作業、建立資訊資產清冊、資產價值鑑別、威脅弱點鑑別、決定風險等級、選擇安控機制、撰寫風險評鑑工作報告、規劃安控機制、執行、有效性評估、稽核,藉以形成一個持續改善機制,而提供資產之機密性、完整性、可用性及個資性之保護,其詳細作業流程參照。
管理流程如附件PROCESS
組織架構及111年度之運作情形
- 每季定期召開資安會議,並依稽核結果向管理階層報告執行相關業務之檢討與措施。
- 彙整鑑別之風險,於12月至董事會報告管理情況。
- 不定期辦理內部宣導及教育訓練,強化公司全體人員之風險管理意識。
風險審查頻率
- 每年或不定期進行風險審查。
- 當有重大變更時則不定期執行審查,如辦公地點搬遷、組織架構變更等。
- 由管理代表決定不定期執行審查時機。
風險管理作業說明
關鍵業務審查作業
網路家庭關鍵業務由小組經理,依年度之業務進行審查,制度管理小組負責整合管理並由管理代表核定,以決定出該年度之關鍵業務,作為網路家庭業務持續運作計畫(BCP)之依據。
審查準則依據附件二「關鍵業務審查準則」;另,資產擁有者依年度業務之變更情形,進行資訊資產清冊更新以及資產風險評估。
建立資訊資產清冊
根據資訊服務管理系統中服務目錄相關之組態項目或業務流程相關資產,進行分類並建立資訊資產清冊。資產之分類,參見附件三「資產分類說明」。
資產評價說明
對資產之評價準則,依據不同之類別以問題集方式整合於風險審查工具,由資產擁有者回答問題後進行價值評估