資訊安全風險管理小組

為統一資訊安全管理等事項之協調、規劃、稽核及推動,成立資訊安全風險管理小組。
本公司資訊安全風險管理小組由管理部主管、資安主管、資安人員共同組成,並設置資安主管一名及資安人員一名。已於112年11月2日向董事會報告112年度資安運作情形。

本小組主要權責:

  1. 負責制定及修訂資通安全作業程序。
  2. 協助推動、協調及審查資通安全管理事項,並定期檢討資通安全政策及目標。
  3. 每季執行資訊安全檢查作業,並每年向董事會報告資安運作情形。

 

資通安全政策及具體管理方案

本公司訂定資訊安全政策目標為確保資訊的機密性、完整性和可用性。

  • (一)可用性-Availability:
    確保各項資訊資產能提供即時且正確的服務,以滿足使用者之需求。
  • (二)完整性-Integrity:
    將資訊資產依重要性分類,並提供適當的保護以確保資訊資產的完整性。
  • (三)機密性-Confidentiality:
    適當的劃分資料的機密等級,並依其機密等級予以適當的規範及保護。

 

本公司資訊安全遵循標準為ISO27001,惟本公司非依規定需要就資安政策及具體管理方案取得國際認證要求之公司,目前依據本公司資訊安全風險管理小組辨視的資訊安全風險胃納程度,尚不需針對資安風險進行投保。但秉持資訊安全管理,本公司仍持續強化資安防護與建立聯防計畫,除此之外,並由小組人員每年度持續參與資訊安全管理相關進修課程,以提升專業職能並掌握關注議題。本公司112年度召開資訊安全相關會議共兩次。

 

本公司資訊安全政策包含下列項目:

  • 核心業務系統管理
  • 資通系統發展及維護安全
  • 資通安全防護及控制措施
  • 委外服務之安全控管
  • 資安風險管理及應變通報程序
  • 資通安全之持續精進

 

面向 相關作業 執行情形
核心業務系統管理
  • 核心業務系統管控
  • 機敏性資料管控
  1. 鑑別公司之核心業務及機敏性資料,並盤點核心業務系統之資訊資產。
  2. 訂定核心業務之復原時間目標(RTO)及資料復原時間點目標(RPO)。
  3. 核心系統定期執行弱點掃描檢查及滲透測試作業,並於檢測報告中屬於中高風險者完成弱點修補及追蹤管理。
  4. 核心資訊系統之運行主機與設備持續更新與安全漏洞修補。
資通系統發展及維護安全
  • 資訊系統存取控制
  • 密碼管理
  • 實體及遠距安全
  1. 使用者帳號註冊與註銷符合公司使用人員之管理,定期審查使用者帳號及權限。
  2. 使用者密碼符合定期更換。
  3. 系統伺服器主機設備安置於限制出入區域,並管制人員進出。
  4. 機房環境符合機房環境運作安全管理要求。
  5. 遠距辦公符合加密通訊及身分驗證及作業內容管控。
資通安全防護及控制措施
  • 端點安全防護
  • 電子郵件安全管理
  • 入侵偵測及防禦機制
  • 威脅攻擊防禦措施
  • 資通安全威脅偵測管理機制
  1. 設有端點安全防護中心即時反應惡意軟體入侵及資訊安全事件,並提供統計內容,減少資安風險。
  2. 每季執行資訊安全檢查。
  3. 電子郵件系統具備過濾及惡意軟體偵測機制,落實電子郵件安全管理。
  4. 網路節點具備入侵偵測及防禦機制。
  5. 針對開放式應用系統啟動應用程式防火牆,減少運作風險。
委外服務之安全控管
  • 委外開發管理
  • 委外廠商管理
  1. 明定委外廠商之資訊安全要求事項,確保委外廠商工作符合約定之工作內容與範圍。
  2. 合約載明委外廠商之保密規定及服務變更措施。
資安風險管理及應變通報程序
  • 資安風險評估
  • 資安事件應變及通報程序
  • 重大訊息公告
  1. 每年進行資安風險評估,就核心業務及核心資通系統鑑別資安風險,並執行對應之控制措施。
  2. 建立資安事件應變及通報程序。
  3. 落實威脅情資蒐集與資安通報,加入TWCERT/CC台灣電腦網路危機處理暨協調中心。
資通安全之持續精進
  • 定期稽核
  • 資安運作年度報告
  • 資安宣導
  • 災難復原演練作業
  1. 稽核人員定期執行查核,並就發現事項擬訂改善措施或建議,且定期追蹤改善情形。
  2. 定期向董事會報告資通安全執行情形。
  3. 每年定期舉辦資訊安全宣導,提升員工資安意識及安全認知。
  4. 每年定期舉辦災難復原演練,確保資安事件應變能力,及降低系統運作風險。

 

資安事件通報程序

本公司資通安全通報程序如下,資安事件之通報與處理,皆需遵照本程序進行。

 

本公司依據所辨識之資訊安全風險擬定管理政策(包含遵循標準、管理及執行),並依據上述政策發展制定具體管理作業加以落實並納入內部控制作業,除每季進行資安檢查、定期向董事會報告外,由稽核室每年將資通安全檢查列入每年年度稽核計畫之稽核項目,並向審計委員會及董事會報告資訊安全之風險管理執行情形。