資通安全管理
(一)資通安全風險管理策略與架構
本公司為強化各項資訊資產之安全管理,提升資料、系統、設備及網路安全,確保本公司資訊處理之正確性,避免人員所使用之電腦軟體、硬體、週邊及網路系統遭受干擾、破壞、入侵之行為或企圖,訂定資通安全管理架構、策略及具體管理方案。
一、企業資訊安全治理組織:本公司資訊安全之權責單位為資訊部,包含資安專責主管及至少兩名以上的資安人員,負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實,並定期向董事長報告各項業務執行狀況。
二、資通安全管理架構:
本公司總經理指派資安專責單位在公司內部成立資通安全管理委員會,由副總經理及資安專責主管擔任委員會主席及副主席,資安專責單位及各部門安排代表分別組成規劃、執行及稽核小組,以負責推動、協調監督及審查資通安全管理事項。
三、資通安全政策
● 資訊安全之目標:
為使業務順利運作,確保資訊或資通系統機密性、完整性、可用性,建構資訊安全管理系統,保障顧客權益及本公司業務持續運作。
● 資訊安全之範圍:
本公司所有同仁及往來之機關與廠商,只要運用到本公司資訊相關軟硬體設施者。
(1)人員管理及資訊安全教育訓練。
(2)電腦系統安全管理。
(3)網路安全管理。
(4)系統存取管制。
(5)系統發展及維護安全管理。
(6)資訊資產安全管理。
(7)實體及環境安全管理。
(8)資訊安全稽核。
(1)使用防毒軟體。
(2)成為負責任的網路公民。
(3)禁止開啟來路不明的電子郵件。
(4)定期備份電腦檔案。
(5)定期更新程式。
(6)定期檢視電腦安全。
(7)不使用時請登出。
(8)使用複雜的密碼,並妥善保存。
(9)電腦設置防火牆。
(10)不要和陌生人共享電腦存取途徑,並請了解檔案分享的風險。
四、具體管理方案:
| 項目 | 具體管理措施 |
|---|---|
| 防毒軟體 |
|
| 監控網路安全 |
|
| 郵件過濾及防護系統 |
|
| 系統權限與存取管控 |
|
| 資料安全保護 |
|
| 資安宣導與教育訓練 |
|
五、投入資通安全管理之資源:
資訊部定期召集各部門主管審視公司資安治理政策,並定期向董事長報告資安治理概況。本公司於113年投入總計超過新台幣12,000,000元以強化資訊安全。
六、本公司已於113年導入ISO27001 資訊安全管理系統標準認證,目前證書效期為113年12月30日至116年12月29日。透過 ISO 27001資通安全管理系統之導入,強化資通安全事件應變處理能力,並保護公司與客戶之資產安全,控制並降低資訊安全事件所帶來的威脅及衝擊。
資訊安全認證:ISO27001
(二)最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實:
本公司於民國114年11月遭受駭客攻擊,攻擊者透過未授權之方式入侵系統,對公司部分系統造成影響。事件發生後,資安部門立即啟動資安事件應變機制,迅速進行系統隔離及風險控管,將影響範圍縮至最低,並同步委請外部專業資安廠商協助進行事件調查與系統復原作業。本公司亦依規定於公司官網發布相關公告,並於同年12月1日完成系統復原。將公司財務及業務衝擊降至最低。雖本次事件未對本公司造成重大損失,惟為防範類似事件再次發生,並持續提升整體資安成熟度,本公司將持續推動以下資通安全強化措施:
(1)持續強化員工資通安全教育訓練,提升同仁資安意識及風險辨識能力。
(2)推動系統雙因子驗證(2FA)及帳號權限管理制度,落實最小權限原則。
(3)針對存放個人資料之系統,導入個資遮罩及去識別化機制,降低個資外洩風險。
(4)建立資安事件回溯與根因分析(Root Cause Analysis)機制,作為後續改善之依據。
(5)完善資安事件通報、應變及定期演練流程,提升跨部門應變能力。
(6)落實系統弱點掃描、修補及更新管理制度,降低系統風險。
(7)強化系統操作紀錄留存、集中式日誌管理及異常行為即時監控機制。
(8)加強資料備份、復原及定期測試機制,確保營運持續性。
(9)持續追蹤資通安全績效,包含不符合事項及矯正措施、監督與量測結果及稽核結果之趨勢分析。