本公司經112年12月26日董事會決議通過設置資通安全專責單位,配置資安主管及資安人員,並訂定資通安全管理辦法、資通安全政策、具體管理方案及投入資通安全管理之資源等。
一、資通安全風險管理架構
本公司資通安全專責單位,配置資安主管一名及資安人員一名,負責訂定公司資通安全政策,規劃資訊安全措施,並執行相關之資訊安全作業。
本公司稽核室為資通安全監理之查核單位,若查核發現缺失,則要求受查單位提出相關改善措施並呈報董事會,並定期追蹤改善成效,以降低內部資安風險。
每年會計師進行資訊作業查核,若發現缺失或有改善建議,會要求改善措施並追蹤改善結果。
二、資通安全專責單位職責
(一)資通安全政策與目標建立,統籌資通安全方針之發展與監控。
(二)資通安全風險之管理及監督,發掘潛在資安風險及需求。
(三)資通安全責任之定義與宣導,以明確宣達資訊安全責任與要求。
(四)資通安全控管標準之建立與整合,並統籌資訊安全解決方案之推動與核准。
(五)跨部門資通安全事務之協調,資通安全執行績效之評估。
(六)資通安全事件之應變與協調,確保資通安全運作之有效性。
三、資通安全政策及管理方案
為強化資通安全管理,確保資訊的可用性、完整性以及機密性,並免於遭受內、外部的蓄意或意外的威脅,本公司資通安全設施與管理方式分為七大項,茲闡述如下:
(一)核心業務及資訊資產價值鑑別
1.每年檢視公司之核心業務及應保護之機敏性資料,鑑別可能造成營運中斷事件之發生機率及影響程度,並明確訂定核心業務之復原時間目標。
2.每年盤點資訊資產,並建立資訊資產清冊,以鑑別資訊資產價值。
(二)電腦設備安全管理
1.本公司電腦主機、各應用伺服器等設備均設置於專用機房,機房進出由資訊室管制,且保留進出紀錄存查。
2.機房內部備有獨立空調,維持電腦設備於適當的溫濕度環境下運轉;並放置藥劑式滅火器,可適用於一般或電器所引起的火災。
3.機房主機配置不斷電與穩壓設備,避免台電意外瞬間斷電造成系統當機,或確保臨時停電時不會中斷電腦應用系統的運作。
(三)網路安全管理
1.強化網路控管,配置企業級防火牆,阻擋駭客非法入侵。
2.因業務需要外部連線至台北總公司時,應提出申請並提供外點IP位置,公司使用指定IP位置的連線作業方式,配合防火牆設定固定IP,避免非集團成員存取內部網路及各項服務。
3.同仁若要由遠端登入公司內網存取資訊系統,必須跟資訊室提出申請,並索取VPN帳號、密碼後方可登入。
4.尊重智慧財產權,避免下載非法軟體;來路不明電子郵件不宜任意開啟,以免啟動駭客惡意執行檔。
(四)病毒防護與管理
1.伺服器與同仁電腦內均安裝有端點防護軟體,病毒碼採自動更新方式,確保能阻擋最新型的病毒,同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為。
2.防毒軟體對於所偵測或攔截到的病毒,除立即予以隔離或刪除外,並要求同仁需通報資訊室以利資訊人員採取因應行動。
(五)系統存取控制
1.同仁對各應用系統的使用,填寫電腦資訊系統申請單,經權責主管核准後,由資訊室建立系統帳號並設定權限後方得存取。
2.帳號的密碼設置,規定期限(三個月)需更換密碼,並設定適當的複雜性(英數混雜),才能通過。
3.同仁職務異動或辦理離(退)職手續時,必須填寫電腦資訊系統申請單,進行各系統帳號的修改或刪除作業。
(六)確保系統的永續運作
1.透過軟體備份Server及其他資料至外接硬碟共兩份,每周本地及異地外接硬碟互換。
2.災害復原演練:每年實施模擬演練,確保備份資料的正確性與有效性。
(七)資安宣導與教育訓練
1.新進員工於新人教育訓練時,進行資安政策及目標之宣導。
2.定期跟同仁宣導資安風險及目前最新的資安情資,以強化人員資安意識。
3.指派資訊室及資安專責單位吸收新知,不斷更新資安知識,並參加資通安全教育訓練課程。
四、投入資通安全管理之資源
(一)硬體設備:防火牆、不斷電設備(UPS)、伺服器等。
(二)軟體系統:郵件防毒、垃圾郵件過濾、備份管理軟體等。
(三)資安政策
● 2022年10月年發布本公司資通安全政策及管理方案內部公告。
● 2023年12月正式訂定資通安全管理辦法。
(四)資安宣導
● 2023年03月發布上半年資訊安全宣導內部公告。
● 2023年09月發布下半年資訊安全宣導內部公告。
(五)教育訓練
● 2022年新進同仁均完成資訊安全與保護教育訓練,共培訓6人次、累計時數4小時。
● 2022年資安專責主管及人員進修課程共1堂,共培訓3人次、累計時數6小時。
● 2023年新進同仁均完成資訊安全與保護教育訓練,共培訓3人次、累計時數2小時。
● 2023年資安專責主管及人員進修課程共5堂,共培訓5人次、累計時數19小時。
(六)其他投入資通安全管理之資源
● 每日各系統狀態檢查。
● 每週定期備份及備份媒體異地存放之執行。
● 系統災難復原模擬演練。
● 內部稽核。
● 會計師稽核。
五、歷年資訊安全措施推動執行成果
2022年度
● 員工因未遵守資訊安全與機密保護程序而受到處分的比例為0%。
● 員工因開啟釣魚郵件使公司遭受侵害事件為0件。
2023年度
● 員工因未遵守資訊安全與機密保護程序而受到處分的比例為0%。
● 員工因開啟釣魚郵件使公司遭受侵害事件為0件。