資通安全管理

(一)資通安全風險管理策略與架構

本公司為強化各項資訊資產之安全管理,提升資料、系統、設備及網路安全,確保本公司資訊處理之正確性,避免人員所使用之電腦軟體、硬體、週邊及網路系統遭受干擾、破壞、入侵之行為或企圖,訂定資通安全管理架構、策略及具體管理方案。

一、企業資訊安全治理組織:本公司資訊安全之權責單位為資訊部,包含資安專責主管及至少兩名以上的資安人員,負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實,並定期向董事長報告各項業務執行狀況。
二、資通安全管理架構:

本公司總經理指派資安專責單位在公司內部成立資通安全管理委員會,由副總經理及資安專責主管擔任委員會主席及副主席,資安專責單位及各部門安排代表分別組成規劃、執行及稽核小組,以負責推動、協調監督及審查資通安全管理事項。


三、資通安全政策
● 資訊安全之目標:

為使業務順利運作,確保資訊或資通系統機密性、完整性、可用性,建構資訊安全管理系統,保障顧客權益及本公司業務持續運作。
● 資訊安全之範圍:

本公司所有同仁及往來之機關與廠商,只要運用到本公司資訊相關軟硬體設施者。
(1)人員管理及資訊安全教育訓練。
(2)電腦系統安全管理。
(3)網路安全管理。
(4)系統存取管制。
(5)系統發展及維護安全管理。
(6)資訊資產安全管理。
(7)實體及環境安全管理。
(8)資訊安全稽核。

● 員工應遵守之相關規定:
(1)使用防毒軟體。
(2)成為負責任的網路公民。
(3)禁止開啟來路不明的電子郵件。
(4)定期備份電腦檔案。
(5)定期更新程式。
(6)定期檢視電腦安全。
(7)不使用時請登出。
(8)使用複雜的密碼,並妥善保存。
(9)電腦設置防火牆。
(10)不要和陌生人共享電腦存取途徑,並請了解檔案分享的風險。


四、具體管理方案:

項目 具體管理措施
防毒軟體
  1. 使用防毒軟體,強化惡意軟體行為偵測,並自動更新病毒碼,降低病毒感染機會。
監控網路安全
  1. 導入防火牆設備,製定防火牆政策以管控內外網路連線,防止惡意網址及勒索病毒等阻斷,以及針對應用程式進行管控
郵件過濾及防護系統
  1. 自動郵件掃描威脅防護,在使用者接收郵件之前,事先防範不安全的附件檔案、釣魚郵件、垃圾郵件,及擴大防止惡意連結的保護範圍。
  2. 以SSL加密機制進行資料傳輸的加密及保護。
  3. 優化郵件雙向病毒掃瞄過濾,防堵惡意程式擴散。
  4. 外寄郵件關鍵字、附檔攔截與機敏個資攔截。
系統權限與存取管控
  1. 使用者需經申請核准後才可以連至內部網路。
  2. 人員帳號權限管理及審核。
  3. 網路硬碟存取依照各單位權限控管。
資料安全保護
  1. 機房進出均有門禁管制。
  2. 定期執行災難復原演練並定期進行伺服器內重要資料備份及異地備援,確保資料的安全及完整性。
  3. 重要資訊系統資料庫皆設定每日備份。
資安宣導與教育訓練
  1. 新進行員工必修資訊安全課程。
  2. 每年舉辦資安教育訓練,不定期進行資安宣導,提升員工資安意識。


五、投入資通安全管理之資源:

資訊部定期召集各部門主管審視公司資安治理政策,並定期向董事長報告資安治理概況。本公司於113年投入總計超過新台幣12,000,000元以強化資訊安全。

六、本公司已於113年導入ISO27001 資訊安全管理系統標準認證,目前證書效期為113年12月30日至116年12月29日。透過 ISO 27001資通安全管理系統之導入,強化資通安全事件應變處理能力,並保護公司與客戶之資產安全,控制並降低資訊安全事件所帶來的威脅及衝擊。

資訊安全認證:ISO27001

(二)最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實:無此情形。