資通安全管理策略與架構

1. 資訊安全風險管理架構

本公司為有效推動資訊安全管理制度,特成立資訊安全委員會,以指導本公司資訊安全發展方向及昭示管理階層之支持。資訊安全委員會包含:資訊安全維運小組以及資訊安全稽核小組,與個人資料保護管理執行小組,其至少每年一次檢討相關管理制度及查核執行情形,並向最高管理階層報告資訊安全管理之績效。

 

資訊安全委員會組織架構

information security management group

 

2. 資訊安全治理制度

為維護本公司業務之永續經營,強化資訊安全管理制度,於2009年取得ISO27001資訊安全管理國際認證,每年均由公正第三方驗證機構實施驗證覆核,確保資訊資產之機密性、完整性、可用性之要求,增進資訊處理設施與網路系統之可靠性,以及同仁對資訊安全之認知,以有效及合理地降低企業營運風險。

information security management system

 

3. 具體管理方案

避免因人為疏失、蓄意或天然災害等因素,導致資訊不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來可能之風險與危害。具體管理事項如下:

 

(1) 網路安全:持續更新防護設備,並持續更新防火牆設定、入侵防禦設定、及網頁信譽評等,並導入網路偵測應用,進行記錄控管。郵件具掃毒及阻擋垃圾信件服務。

 

(2) 裝置安全:每台終端設備皆安裝防毒軟體,可即時封鎖惡意病毒入侵。遠距辦公需求者,導入SSL VPN工具,強化遠端工作的安全性。

 

(3) 系統管理:電腦系統應有充分權限管理,新進員工或權限異動皆依照存取控制管理作業程序設定權限,離職員工應依處理程序立即鎖定、停止或移除帳號及權限,以防範未經授權之使用。

 

(4) 供應鏈資訊安全:供應商需配合本公司資訊安全政策及資訊安全相關規定辦理,並按照合約要求及雙方協議規定執行保密作業。

 

(5) 資料安全保護:依據備份及回復管理作業程序,建立資料備份機制,依資料屬性進行每日、每週、每月進備份作業,並定期執行災害復原演練測試。

 

(6) 教育訓練與宣導:新進同仁皆需完成資訊安全教育訓練課程;另,針對全體同仁每年進行線上教育訓練與宣導,以提昇員工資訊安全意識。

 

4. 重大資通安全事件

本公司於112年度未發生重大資訊安全事件。但新的攻擊手法不斷翻新,公司面對瞬息萬變且日益增長的資訊安全威脅,公司須持續精進資訊安全管理,進而降低公司的營運風險,回饋股東最大的投資價值與利益。

 

5. 資通安全風險與因應措施

本公司透過持續檢視和評估資訊安全規章及程序,來確保其適當性和有效性,但不能保證公司不受推陳出新的風險和攻擊所影響。網路攻擊也可能企圖竊取公司的營業祕密及其他機密資訊,例如客戶或其他利害關係人的專有資訊以及公司員工的個資。具體因應措施如下:

(1) 資安管理運作:公司資安組織由各事業單位組成,各事業主管擔任資安組織委員,各委員指派該事業部人員擔任資安維護小組及資安稽核小組,共計48人。資訊安全維運小組以及資訊安全稽核小組,112年舉行兩次檢討相關管理制度及查核執行情形,並向最高管理階層報告資訊安全管理之績效並於112年10 月通過第三方驗證稽核未發現缺失。

 

(2) 優化縱深式防禦資訊安全架構:持續簽訂趨勢防毒授權建構電腦類型端點防毒措施、強化網路防火牆、勒索軟體入侵,導入先進資安設備DLP防資料外的解決方案及APT內部威脅偵測系統破壞性軟體等,避免公司因遭受惡意攻擊、甚至進行敲詐,因這些攻擊可能導致公司延誤或中斷業務而需賠償客戶的損失。112年公司投入NT$140萬於優化縱深式防禦資訊安全架構。

 

(3) 教育訓練:進行全員資訊安全教育訓練,提升資訊安全意識,使資訊安全的運作在高階主管與各部門的支持下,落實到全體員工身上。訓練方式:

  • 對新加入員工提供實體/線上訓練時數1小時課程並完成通過考試人數30人。
  • 提供線上訓練教材,員工自行線上研讀教材並完成線上考試人數280人。