一、資通安全風險管理架構
為確保公司資訊安全管理制度之資訊安全責任,落實資訊安全政策之推行,本公司遵循「公開發行公司建立內部控制制度處理準則」第9條之1之要求,設置資安專責單位,包含資安專責主管及專責人員。負責資訊安全管理、規劃、督導及推動執行,針對風險評估或特定議題,如有需要,另行召集相關單位,包括法務、稽核、人力資源、研發單位、等共同研議,並定期向董事會報告資安執行結果。
二、資訊安全政策
企業資訊安全組織為有效落實資安管理,依據規劃、執行、查核與行動 (Plan-Do-Check-Act, PDCA) 的管理循環機制,檢視資訊安全適用性與保護措施,並定期回報執行成效。
1. 規劃階段 :
著重資安風險管理,建立完整的資訊安全管理系統 (Information Security Management System, ISMS),從系統面、技術面、程序面降低企業資安威脅,建立最高規格的機密資訊保護服務。
2. 執行階段 :
建構多層資安防護,持續導入資安防禦創新技術,將資安控制機制整合內化於軟硬體為運、供應商資安管理等平日作業流程,系統化監控資訊安全,維護本公司重要資產的機密性、完整性及可用性。
3. 查核階段 :
積極監控資安管理成效,依據查核結果進行資安指標衡量,並透過定期模擬演練資安攻擊,進行資訊安全成熟度評鑑。
4. 行動階段 :
以檢討與持續改善為本,落實監督、稽核,確保資安規範持續有效。
三、 具體管理方案
|
項目 |
管理方案 |
|
網路安全 |
(1) 強化網路防火牆與網路控管,防止電腦病毒跨機及跨區擴散。 |
|
|
(2) 依據網路服務需要區隔獨立的邏輯網域 (如 DMZ),並針對不同作業環 境建立適當之資安防護措施。 |
|
裝置安全 |
(1) 建置端點防毒措施,強化惡意軟體行為偵測。 |
|
|
(2) 建置端點資安監控措施,偵測並警示非法連線之風險及意圖。 |
|
|
(3) 留意安全漏洞通知,即時修補高風險漏洞。 |
|
帳號與權限管理 |
(1) 特權帳號需得申請核准後方可使用。 |
|
|
(2) 定期審查特權帳號、使用者帳號及權限,停用久未使用之帳號。 |
|
|
(3) 外部連線之 VPN 採多重認證機制。 |
|
|
(4) 多次登入失敗鎖定機制。 |
|
|
(5) 建立通行密碼管理之規定,包含預設密碼、密碼長度、複雜度、有效期 限等。 |
|
資料安全 |
(1) 針對機敏性資料之處理及儲存建立防護措施,如: 實體隔離、專用電腦 作業環境、存取權限、資料加密等。 |
|
|
(2) 機敏性資料之本地、異地備份以及備援機制。 |
|
資安監控與維護 |
(1) 機敏性資料異常讀取之警示。 |
|
|
(2) 內網異常連線之監控警示。 |
|
|
(3) DMZ攻擊警示,包含WWW、DNS、FTP、Mail等。 |
|
|
(4) VPN 攻擊警示。 |
|
|
(5) 帳號密碼攻擊警示。 |
|
教育訓練與宣導 |
(1) 加強員工對郵件社交工程攻擊之警覺性。 |
|
|
(2) 定期舉辦資安教育訓練及宣導,提升員工資安意識。 |
四、 投入資通安全管理之資源
1. 本公司於2023年度用於資訊安全相關設施維護與改善投入約新台幣130萬元,且於2022年8月設置資安主管及1名資安人員。
2. 2023年度舉辦一場實體資安講習課程,線上資安宣導課程計200人次。
