資通安全管理之資訊揭露
一、資通安全風險管理架構
本公司於總管理處成立資安中心,設置資安主管及資安專責人員,負責規劃及訂定資通安全管理政策,執行推動政策,落實及追蹤檢討,缺失立即及定期改善,確保政策確實執行,相關執行成果定期呈報公司高層會議,降低營運風險。
資訊中心透過每年管理審查會議,審核資安風險分析結果及公司採取對應的防護措施與方策,確保資訊安全管理體系持續運作的適用性、適切性及有效性。定期向董事會彙報資安管理成效及資安策略方向,定期檢討修正。最近一期於112年11月6日向董事會報告。
二、資通安全政策
- 訂定資通安全管理辦法,落實執行。
- 帳號分權管理,避免特權帳號外洩。
- 內/外網網路政策區分,存取範圍有所限制。
- 員工電腦行為如實記錄,防止不法情事發生。
- 資訊機房與個人電腦資料定期備份,防止資料遺失。
- 定期教育訓練,提升資安意識。
- 個人簽署資通安全切結書,落實遵守規定。
- 加入科學園區資安資訊分享與分析中心(SP-ISAC),掌握可能的資安威脅與弱點資訊,以利管理和及早因應。
三、具體管理方案
為達資安政策與目標,建立全面性的資安防護,推行的管理事項及具體管理方案如下:
- 採用新世代防火牆,內/外網採取分級制,人員僅能存取一般服務,特殊服務需申請權限,並將記錄留存。
- 郵件伺服器加裝垃圾郵件閘道器,及選購社交工程防護、防詐騙、防毒模組,過濾有害郵件。
- 導入端點安全防護系統,落實外接設備管控,記錄使用者上網、檔案存取行為,資訊設備資產盤點。
- 機房端使用一般防毒及進階MDR 防駭軟體,並委由廠商24 小時監控及防護。
- 獨立備份區域,搭配備份軟/硬體,將資訊機房及個人電腦資料定期備份,僅有備份服務能存取該區域,降低駭客風險。
- 帳號分權管理,一般人僅有最小權限,如需特殊權限須經申請核准備查,特權帳號定期變更密碼,密碼強度拉到最高,降低風險。
- 定期教育訓練,提升人員資安意識。
- 加入資安情資分享組織,取得資安預警情資、資安威脅與弱點資訊。
四、投入資通安全管理之資源
資訊安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:
- 專責人力:設有專職之企業組織「資安中心」,資安主管1名、資安人員2名,負責公司資訊安全規劃、技術導入與相關的稽核事項,以維護及持續強化資訊安全。完成上市櫃公司資安專責人力申報作業。
- 客戶滿意:無重大資安事件,無違反客戶資料遺失之投訴案件。
- 簽署資通安全切結書:所有員工及新進員工皆完成簽署資通安全切結書。
- 資安公告:本年度發佈5份資安中心公告,傳達資安防護相關規定與注意事項。
- 執行「瀏覽網頁潛在危害說明教學及資安小測驗」,針對資安相關議題,透過公告進行說明、教學、宣導及測驗,提升員工資安意識。總閱讀590人次,有效測驗份數163份,平均分數98分。