一、資通安全風險管理架構
本公司於支援中心成立資訊安全專職部門「資訊安全管理部」,設置資安主管及資安專責人員,負責規劃及訂定資通安全政策與資訊安全管理辦法,並參照ISO 27001、CNS 27001資訊安全管理系統標準,執行推動管理辦法,落實並追蹤檢討,對缺失立即且定期改善,以確保政策與管理辦法確實執行;相關執行成果定期呈報公司高層會議,以降低營運風險。
資訊安全管理部為維護公司資通之機密性、完整性、可用性與適法性,避免發生人為疏失、蓄意破壞與自然災害時,遭致資通與資訊資產遭致不當使用、洩漏、竄改、毀損、消失等,影響本公司作業並導致公司權益損害為前提,定期執行資訊安全檢查,並將檢查報告呈送權責主管覆核;並就檢查所提出之發現與問題,予以瞭解、追蹤及覆核改善情形,以確認內外部相關人員與單位,均確實遵循公司資通安全政策與資訊安全管理辦法。
二、資通安全政策
-
訂定資訊安全管理辦法,並確實執行。
-
定期清查非法軟體,以避免使用未經授權之電腦軟體。
-
每日執行電腦機房工作日誌,以確保資通設備及備份正常運作。
-
詳實備份,以落實災害回復及資料庫還原。
-
詳盡登錄機房進出管制記錄,以確保機房實體安全。
-
人員簽署資訊安全切結書,以貫徹員工遵守資安規定。
-
施行機房設備異常記錄、機房設備清單,以確保資通設備嚴格管控。
-
訂定嚴謹災害復原處置流程,以保證資通服務復原時效。
-
落實資訊需求申請,以確實各項資訊作業審查。
-
進行網路群組管制,內、外網路政策區分,以確定存取範圍有所限制。
-
嚴密帳號分權管理,以確保授權存取控制。
-
完整資料銷毀作業記錄,以保障公司機敏資訊不外流。
-
加入資安資訊分享與分析組織,掌握可能的資安威脅與弱點資訊,以提前預防及因應。
-
定期舉辦員工資通安全教育訓練,以提升全員資安意識。
三、具體管理方案
為達成資安政策與目標,建立全面與完整性的資安防護,推行資安管理事項及具體管理方案如下:
-
採用新世代防火牆,並導入國際情資防護資料庫以利協防,每日產出網路攻擊事件報告,以提供資安專責人員及時進行因應措施。
-
使用國際軟體大廠郵件服務系統,保障99.99%服務可用性,並配合防護模組,以保護電子郵件和共同作業,避免零時差惡意程式碼、網路釣魚和商務電子郵件洩露風險。
-
資訊主機及電腦使用進階MDR 防駭軟體,並委由廠商24 小時監控及防護,每月產出資安報告,每季與資安協力廠商檢討近期資安事件。
-
資訊服務除定期備份外,每年針對核心資訊服務執行災難復原演練,以強化資安專責人員遭遇自然或人為災難災害後之處置能力。
-
帳號分權管理,依照人員職務權責做設定,特殊權限須經申請核准備查,並定期變更人員帳號密碼、要求密碼複雜度,以降低風險。
- 定期資安教育訓練,以提升人員資安意識。
- 加入TW-ISAC電腦網路危機處理暨協調中心之資安情資分享組織,取得資安預警情資、資安威脅與弱點資訊。
四、投入資通安全管理之資源
資訊安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:
-
專責人力:由專職之企業組織「資訊安全管理部」擔任資訊安全專責單位,設有專職之資安主管1名、資安人員1名,負責公司資通安全規劃、資安緊急應變、資安事件處理、資安技術導入與資安稽核事項,以維護及持續強化資訊安全,並完成上市櫃公司資安專責人力申報作業。
-
資通安全組織架構:
-
客戶滿意:無重大資安事件,無違反客戶資料遺失之投訴案件。
-
簽署資通安全切結書:所有員工及新進員工皆完成簽署資通安全切結書。
-
資安公告:本年度發佈1次資訊安全宣導,傳達資安防護相關規定與注意事項。
-
利用公司線上學習平台及新人到職說明,全面實施資通全安相關教育訓練,2024年度總學習時數達到73.5小時。