一、资通安全风险管理架构
本公司于支援中心成立资讯安全专职部门「资讯安全管理部」,设置资安主管及资安专责人员,负责规划及订定资通安全政策与资讯安全管理办法,并参照ISO 27001、CNS 27001资讯安全管理系统标准,执行推动管理办法,落实并追踪检讨,对缺失立即且定期改善,以确保政策与管理办法确实执行;相关执行成果定期呈报公司高层会议,以降低营运风险。
资讯安全管理部为维护公司资通之机密性、完整性、可用性与适法性,避免发生人为疏失、蓄意破坏与自然灾害时,遭致资通与资讯资产遭致不当使用、泄漏、窜改、毁损、消失等,影响本公司作业并导致公司权益损害为前提,定期执行资讯安全检查,并将检查报告呈送权责主管覆核;并就检查所提出之发现与问题,予以了解、追踪及覆核改善情形,以确认内外部相关人员与单位,均确实遵循公司资通安全政策与资讯安全管理办法。
二、资通安全政策
- 订定资讯安全管理办法,并确实执行。
- 定期清查非法软体,以避免使用未经授权之电脑软体。
- 每日执行电脑机房工作日志,以确保资通设备及备份正常运作。
- 详实备份,以落实灾害回复及资料库还原。
- 详尽登录机房进出管制记录,以确保机房实体安全。
- 人员签署资讯安全切结书,以贯彻员工遵守资安规定。
- 施行机房设备异常记录、机房设备清单,以确保资通设备严格管控。
- 订定严谨灾害复原处置流程,以保证资通服务复原时效。
- 落实资讯需求申请,以确实各项资讯作业审查。
- 进行网路群组管制,内、外网路政策区分,以确定存取范围有所限制。
- 严密帐号分权管理,以确保授权存取控制。
- 完整资料销毁作业记录,以保障公司机敏资讯不外流。
- 加入资安资讯分享与分析组织,掌握可能的资安威胁与弱点资讯,以提前预防及因应。
- 定期举办员工资通安全教育训练,以提升全员资安意识。
三、具体管理方案
为达成资安政策与目标,建立全面与完整性的资安防护,推行资安管理事项及具体管理方案如下:
- 采用新世代防火墙,并导入国际情资防护资料库以利协防,每日产出网路攻击事件报告,以提供资安专责人员及时进行因应措施。
- 使用国际软体大厂邮件服务系统,保障99.99%服务可用性,并配合防护模组,以保护电子邮件和共同作业,避免零时差恶意程式码、网路钓鱼和商务电子邮件泄露风险。
- 资讯主机及电脑使用进阶MDR 防骇软体,并委由厂商24 小时监控及防护,每月产出资安报告,每季与资安协力厂商检讨近期资安事件。
- 资讯服务除定期备份外,每年针对核心资讯服务执行灾难复原演练,以强化资安专责人员遭遇自然或人为灾难灾害后之处置能力。
- 帐号分权管理,依照人员职务权责做设定,特殊权限须经申请核准备查,并定期变更人员帐号密码、要求密码复杂度,以降低风险。
- 定期资安教育训练,以提升人员资安意识。
- 加入TW-ISAC电脑网路危机处理暨协调中心之资安情资分享组织,取得资安预警情资、资安威胁与弱点资讯。
四、投入资通安全管理之资源
资讯安全已为公司营运重要议题,对应资安管理事项及投入之资源方案如下:
- 专责人力:由专职之企业组织「资讯安全管理部」担任资讯安全专责单位,设有专职之资安主管1名、资安人员1名,负责公司资通安全规划、资安紧急应变、资安事件处理、资安技术导入与资安稽核事项,以维护及持续强化资讯安全,并完成上市柜公司资安专责人力申报作业。
- 资通安全组织架构:
- 客户满意:无重大资安事件,无违反客户资料遗失之投诉案件。
- 签署资通安全切结书:所有员工及新进员工皆完成签署资通安全切结书。
- 资安公告:本年度发布1次资讯安全宣导,传达资安防护相关规定与注意事项。
- 利用公司线上学习平台及新人到职说明,全面实施资通全安相关教育训练,2024年度总学习时数达到73.5小时。