資訊安全政策
確保公司資訊安全以保障公司及利害關係人之權益,本公司設立資訊安全中心,由總經理督導,資訊安全中心負責擬訂年度資訊安全策略、資訊安全計劃;協調相關資源運用,統籌資訊安全事件管理,規劃安排資訊安全教育及協同稽核單位進行資訊安全稽核作業。
資訊安全中心為有效落實資安管理,確保資訊及網路系統能有效運作並維護其機密性、完整性與可用性。依據規劃、執行、查核與行動(Plan-Do-Check-Act, PDCA)的管理循環機制,檢視資訊安全系統的適用性與保護措施,持續檢討成效並精進資訊及網路系統安全的管理方案。
資訊安全組織及目標
資訊安全組織
為推動資訊安全相關政策、落實資訊安全事件通報及相關應變處理,由資訊安全專責主管及資訊安全專責人員成立資訊安全中心,其任務包括:
- 跨部門資訊安全事項權責分工之協調。
- 資訊安全技術、方法及程序之協調研議。
- 整體資訊安全措施及計畫之實施。
- 依據資訊安全目標執行年度工作計畫。
- 傳達資訊安全政策與目標。
- 資訊安全技術之研究、建置及評估相關事項。
- 資訊安全相關規章與程序、制度之執行。
- 資訊系統之盤點及風險評估,資料及資訊系統之安全防護事項之執行。
- 資訊安全事件之通報及應變機制之執行。
- 資訊安全專責主管每年於董事會中報告資訊安全規劃事項及執行情況。
資訊安全目標
- 保密性:確保只有授權的人員可以訪問敏感信息。
- 完整性:防止未經授權的修改或損壞資料,確保資料的真實可靠。
- 可用性:確保系統和資源在需要時可用,並能夠抵禦意外故障或攻擊。
- 合法合規性:符合所有適用的法律、法規和標準,包括隱私保護法律等。
- 風險管理:識別、評估和降低資訊安全風險,並採取適當的措施來應對。
- 教育和訓練:提供給員工、使用者和相關利益相關者的安全意識培訓和教育。
- 緊急應變:建立有效的應急響應計劃,以應對安全事件和違規行為。
- 持續改進:不斷審核、更新和改進安全策略、措施和程序。
- 技術防護:部署技術安全措施,如防火牆、入侵檢測系統等來保護系統和網絡
- 實體安全:保護硬體、設備和設施,防止未經授權的入侵。
資訊安全防護及控制措施
鑑別資訊資產及風險評估
定期就核心業務進行討論,以確認核心業務內容,並據以建立及檢視核心系統資訊資產清冊、鑑別其資訊資產價值。辦理資訊系統資產盤點,並依資產屬性進行分類,並標示出核心資訊系統。
存取控制與加密機制管理
存取控制和加密機制管理的目的是在保護敏感資訊和重要系統的安全措施,企業採取以下作為是來確保資訊資產的安全。
作業與通訊安全管理
- 防範惡意軟體之控制措施
- 本公司之主機及個人電腦應安裝防毒軟體,並隨時維護軟、硬體。
- 任何形式之儲存媒體所取得之檔案,應確定有無惡意程式或病毒。
- 使用者未經同意不得私自安裝來路不明、有違法疑慮或與業務無關的軟體。
- 設置防火牆以防禦外部威脅攻擊。
- 建置防毒軟體、網路防火牆,持續使用並適時進行軟、硬體之必要更新或升級。
- 資安設備應定期備份日誌紀錄,定期檢視執行情形。
- 不得於辦公室內私裝電腦及網路通訊等相關設備。
- 不得於私人之裝置使用公司網路通訊等相關設備。
電子郵件安全管理
- 使用者使用電子郵件時應提高警覺,避免讀取來歷不明之郵件。
- 不得以電子郵件傳送機密性或敏感性之資料,如有業務需求者應依相關規定進行加密或其他之防護措施。
- 使用者不得利用公司所提供電子郵件服務從事侵害他人權益或違法之行為。
- 舉辦電子郵件社交工程演練,並檢討執行情形。
- 設置電子郵件過濾機制以減少垃圾郵件或惡意郵件入侵。
電腦機房之管理
- 人員及設備進出電腦機房應經授權並留存進出紀錄。
- 電腦機房應安裝安全偵測及防護措施,以減少環境不安全引發之危險。
- 電腦機房應定期監控溫濕度及電力安全。
- 各項設備應定期執行檢查、維修。
電腦使用之安全管理
- 個人電腦不使用時,應立即登出或啟動螢幕保護功能。
- 禁止安裝使用未經合法授權軟體。
- 個人電腦定期進行更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
- 重要資料應定期備份及檢驗備份資料之正常。
- 未經核准不得使用行動存儲裝置。
- 公司針對核心業務系統每年辦理一次系統持續運作演練。
- 每年辦理資訊安全健診並檢討執行情形。
資訊安全教育訓練
資訊安全訓練的目的在建立員工資訊安全認知,提升公司資訊安全水準其內容包含:
- 資訊安全政策。
- 資訊安全法令規定。
- 資訊安全作業內容。
- 資訊安全技術訓練。
2024年投入資通安全管理之資源及執行成果
一、 持續維護資訊資產盤點及風險鑑別。
二、 已加入[台灣CERT/CSIRT聯盟]並持續交換網路安全情資,強化資安防禦體系。
三、透過外部資安專業公司完成下列資安健診項目:
- 2024/09完成弱點掃瞄及弱點補強。
- 2024/09完成滲透測試完成及弱點補強。
- 2024/05完成社交工程演練,113年受測信箱204個,共發出612測試郵件,並針對誤點開風險郵件之員工進行教育訓練共2場。
- 2024/12完成源碼掃瞄及缺失改善計畫。
四、核心業務系統持續運作演練完成:
- 2024/12主機房故障(停電、失火、溫溼度控制故障等)演練。
- 2024/12網路斷線演練。
- 2024/12核心系統伺服器故障演練。
- 2024/12核心系統資料庫復原演練。
五、持續進行資安設備軟、硬體之更新或升級。
六、2024年度舉辦資通安全教育實施情形如下:
七、2024年無重大資訊安全事件發生,亦無遺失客戶資料之情事。
上述2024年資通安全規劃事項及執行情形,資訊安全專責主管已於2025/01/02向董事會報告。