資通安全管理策略與架構
資通安全風險管理架構
本公司於民國112年成立「資安管理委員會」,並依職能區分文件小組、風險小組及稽核小組,負責規劃本公司整體資訊安全管理架構及發展,訂定資安政策、目標及制度,遵循ISO 27001框架進行資訊資產風險管理及資安制度執行和查核。
另也於民國112年12月25日成立「資訊安全管理部門」,專責公司資訊安全政策推動、落實資安機制及提升公司員工資安意識,並主導「資安管理委員會」運行,將推動及執行結果向上呈報總管理處最高主管、董事長。
稽核室為本公司制度監理之查核單位,兼任「資安管理委員會」之稽核小組,每年將資通安全管理檢查列入年度稽核計畫,並將查核結果定期(至少一年一次)呈報董事會,定期追蹤改善成效。
「資安管理委員會」透過每年召開一次的管理審查會議,審核過往決議的處理狀態、了解資安風險的分析及稽核結果,以確保資訊安全管理持續運作及落實,並評估改善的機會。
此外,為提升資通安全及降低營運風險,本公司每年委託會計師事務所電腦審計部之專業查核團隊及外部專業驗證機構,針對資安全管理進行定期性查核,並彙報查核結果及提出相關改善建議事項。
資訊安全管理架構
資通安全政策
遵循「公開發行公司建立內部控制制度處理準則」第九條有關「電腦化資訊系統處理」之規範,及ISO 27001資訊安全管理系統的管理框架,建立符合規範之資通安全政策。
本公司資訊安全目標為確保核心系統管理業務之機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)與法遵性(Compliance),並依各階層與職能定 義及量測資訊安全績效之量化指標,以確認資訊安全管理系統實施狀況及是否達成資訊安全目標。
- 制定資訊安全管理規範並定期檢視相關規章,且舉辦資訊安全教育訓練,強化員工之資訊安全意識及其對相關責任之認知。
- 保護公司業務活動相關資訊,強化資料安全性,避免未經授權之存取與竄改等不當使用之情事。
- 確保本公司重要資訊管理系統維持穩定可供服務使用。
- 建置資訊安全監控自動化與強化防禦預警能力,降低資訊遭受未經授權之入侵、惡意破壞或洩露等攻擊行為。
- 確實落實日常運維之標準化作業程序,並定期進行內部稽核及外部查核,確保內部控制制度及相關作業程序之有效性。
- 遵循我國相關法律(如:個人資料保護法、營業秘密法、智財權相關法律),避免本公司或第三方人士權益受侵害
具體管理方案
- 遵循ISO 27001資訊安全管理的國際標準,制定本公司資訊安全管理系統架構、實施、維護以及持續改善的準則。
- 鑑別所有資訊資產,將重要的資訊資產作成清冊並指派專人管理,每年定期執行風險評鑑並處理風險。
- 增進網路及應用系統安全,導入端點防護機制、應用系統弱點掃描及源碼掃描、改善備份設備和管理、導入雙因子認證等。
- 制定營運持續計畫及測試演練,針對本公司關鍵營運流程或活動,預先規劃中斷時之復原步驟,以使本公司遭遇資訊安全事件影響營運時,能在最短的時間內回復正常營運。
- 建立資訊安全事故管理程序,並對資訊安全事件/事故訂定分級標準,以便快速、有效的反應,降低或消除資訊安全事件所可能帶來的衝擊與傷害。
- 定期舉辦社交工程釣魚郵件演練,提供全體員工資安意識,並針對被釣魚成功員工辦理資安教育訓練以加強宣導。
- 加入TWCERT/CC 「台灣資安聯盟」會員,透過聯盟彼此交換資安情資及重要資安議題的分享,以達資安聯防之目的,增進公司資安防護能力。
投入資通安全管理之資源
- 設有專責之「資訊安全管理」部門,負責公司資訊安全政策推行、資安技術導入及配合相關稽核事項,以確保公司資安管理持續有效。
- 完成防火牆升級優化專案。
- 導入MDR產品,透過資安公司專業協助,隨時監控異常狀況,並及時處理以增強資訊安全防禦能力。
- 建置Log Server,整合保存收集到的大量記錄資料。
- 每半年執行兩次社交工程釣魚郵件演練。
- 建置資訊安全管理系統,發布資訊安全相關政策及程序制度,以使全體同仁得以遵循; 並於[資訊安全學習區]發布相關資訊,包含資安意識訓練簡報和個資法基礎課程等。
- 透過專業顧問公司輔導,強化資訊安全制度,每年(至少一次)召開資訊資產風險評鑑會議及管理審查會議,確保了解風險所在並加以改善。
- 2023年Q4通過ISO 27001 認證,相關資安稽核無重大缺失。