資訊安全管理
一、 資通安全管理策略與架構
(一) 資通安全風險管理架構
1. 資訊安全治理組織
本公司已由資訊部組成「資訊安全專責單位」,負責統籌資訊安全政策之制定、執行及風險管理與遵循,成員包含資訊安全主管1位及人員1位,由總經理定期監督其運作,確認資訊安全政策落實。另稽核室每年查核資通安全管理作業,並向董事會及審計委員會彙報查核結果。
2. 資訊安全組織架構
(二) 資通安全政策
為有效落實資安管理,資訊安全專責單位依據規畫、執行、查核與行動(Plan-Do-Check-Act, PDCA)的管理循環機制,檢視資訊安全政策適用性與保護措施,並定期與總經理回報執行成效。
• 「規畫階段」著重資安風險管理,建立完整的資訊安全管理系統(Information Security Management System, ISMS),從系統面、技術面、程序面降低企業資安威脅,建立符合客戶需求、最高規格的機密資訊保護服務。
• 「執行階段」則建構多層資安防護,持續導入資安防禦創新技術,將資安控管機制整合內化於平日作業流程,系統化監控資訊安全,以維護重要資產的機密性、完整性及可用性。
• 「查核階段」積極監控資安管理成效,依據查核結果進行資安風險分析。
• 「行動階段」以檢討與持續改善為本,落實監督、稽核確保資安規範持續有效;若也違反資安規範情勢,視違規情節進行人事處分(包括員工考績或必要的法律行動);此外,定期檢討及執行包含資訊安全措施、教育訓練及宣導等改善作為,確保重要機密資訊不外洩。
1. 具體管理方案
• 多層資安防護機制
| 項目 | 具體管理方案 |
|---|---|
|
網路安全 |
導入防毒牆技術,執行電腦掃描及系統與軟體更新。 強化網路防火牆與網路控管,防止電腦病毒跨機台擴散。 |
|
裝置安全 |
建置端點防毒軟體,強化惡意軟體行為偵測。 |
|
應用程式安全 |
關鍵應用系統,每年定期災害復原演練。 程式開發於測試環境進行,與正式環境區分。 |
|
人員與實體安全 |
電腦機房設有門禁、溫濕度監測及不斷電系統。 |
|
帳號與權限管理 |
權限給予以職務所需。 離職帳號權限凍結。 |
|
資料安全保護技術強化 |
文件及資料加密控管及追蹤。 儲存裝置僅限讀取權限。 重要客戶或供應商,簽署保密協議。 |
• 檢討與持續改善
| 項目 | 具體管理方案 |
|---|---|
|
教育續練與宣導 |
提升同仁資安意識,宣導郵件社交攻擊態樣。 向新進同仁布達硬軟體使用規則並簽署同意書。 |
2. 投入資通安全管理之資源
• 每年投入一定比例的預算來進行進行資安相關軟硬體的升級及維護,確保不低於總資訊預算的10%。以2023年為例,為了維護資訊安全較2022年增加62%的資金用於資訊安全投入。
• 資訊安全主管及資訊安全人員於2023年共參加6次資安講座與課程。
二、 資通安全風險與因應措施
本公司已建立網路與電腦的資安防護措施,但無法保證重要企業功能之電腦系統能完全避免網路攻擊,造成營運及商譽的損害;有鑑於此,本公司主動加入「台灣電腦網路危機處理暨協調中心」透過情資分享,提升內部各項資安防護。另,本公司訂有「電腦防毒管理辦法」、「公司重大中毒事件處理SOP」等資安事件應變處置及通報作業程序,及時因應。
三、 重大資通安全事件
最近年度及截至年報刊印日止,本公司尚無重大資通安全事件。惟,面對瞬息萬變且日益增長的資安威脅,過去的防禦成效不代表未來不會發生,企業對於資訊安全的要求及工具也應與時俱進。
