Loading content, please wait..

企業永續發展

首頁 > 企業永續發展 > 資通安全管理

資通安全管理

一、資通安全風險管理架構
為確保公司資訊安全管理制度之資訊安全責任,落實資訊安全政策之推行,本公司遵循「公開發行公司建立內部控制制度處理準則」第9條之1之要求,設置資安專責單位,包含資安專責主管及專責人員。負責資訊安全管理、規劃、督導及推動執行,針對風險評估或特定議題,如有需要,另行召集相關單位,包括法務、稽核、人力資源、研發單位、等共同研議,並定期向董事會報告資安執行結果。
二、資訊安全政策
企業資訊安全組織為有效落實資安管理,依據規劃、執行、查核與行動 (Plan-Do-Check-Act, PDCA) 的管理循環機制,檢視資訊安全適用性與保護措施,並定期回報執行成效。
1.   規劃階段 :
著重資安風險管理,建立完整的資訊安全管理系統 (Information Security Management System, ISMS),從系統面、技術面、程序面降低企業資安威脅,建立最高規格的機密資訊保護服務。
2.   執行階段 :
建構多層資安防護,持續導入資安防禦創新技術,將資安控制機制整合內化於軟硬體為運、供應商資安管理等平日作業流程,系統化監控資訊安全,維護本公司重要資產的機密性、完整性及可用性。
3.   查核階段 :
積極監控資安管理成效,依據查核結果進行資安指標衡量,並透過定期模擬演練資安攻擊,進行資訊安全成熟度評鑑。
4.   行動階段 :
以檢討與持續改善為本,落實監督、稽核,確保資安規範持續有效。
三、 具體管理方案
 
項目 管理方案
網路安全 (1)   強化網路防火牆與網路控管,防止電腦病毒跨機及跨區擴散。
  (2)   依據網路服務需要區隔獨立的邏輯網域 (如 DMZ),並針對不同作業環           境建立適當之資安防護措施。
裝置安全 (1)   建置端點防毒措施,強化惡意軟體行為偵測。
  (2)   建置端點資安監控措施,偵測並警示非法連線之風險及意圖。
  (3)   留意安全漏洞通知,即時修補高風險漏洞。
帳號與權限管理 (1)   特權帳號需得申請核准後方可使用。
  (2)   定期審查特權帳號、使用者帳號及權限,停用久未使用之帳號。
  (3)   外部連線之 VPN 採多重認證機制。
  (4)   多次登入失敗鎖定機制。
  (5)   建立通行密碼管理之規定,包含預設密碼、密碼長度、複雜度、有效期         限等。
資料安全 (1)   針對機敏性資料之處理及儲存建立防護措施,如: 實體隔離、專用電腦           作業環境、存取權限、資料加密等。
  (2)   機敏性資料之本地、異地備份以及備援機制。
資安監控與維護 (1)   機敏性資料異常讀取之警示。
  (2)   內網異常連線之監控警示。
  (3)   DMZ攻擊警示,包含WWW、DNS、FTP、Mail等。
  (4)   VPN 攻擊警示。
  (5)   帳號密碼攻擊警示。
教育訓練與宣導 (1)   加強員工對郵件社交工程攻擊之警覺性。
  (2)   定期舉辦資安教育訓練及宣導,提升員工資安意識。
四、 投入資通安全管理之資源
1.   本公司於2023年度用於資訊安全相關設施維護與改善投入約新台幣130萬元,且於2022年8月設置資安主管及1名資安人員。
       2.   2023年度舉辦一場實體資安講習課程,線上資安宣導課程計200人次。