資訊安全風險管理架構
本公司已設立資訊管理組織,統籌資訊安全相關政策制定、執行、風險管理與遵循度查核。將由企業資訊組織最高主管每年向董事會報告資訊安全執行之成果。另由資安專員負責統籌並執行公司資訊安全政策,宣導資訊安全訊息,提升員工資安意識,向企業資訊組織最高主管、總經理、董事長進行資訊安全成果報告,查核評估公司資訊作業內部控制之有效性,以及為保障資訊的機密性、完整性與可用性,建置「主動式資安偵測與防禦」的架構,降低資訊未經授權使用、遭受破壞或外洩的風險。
1.資安治理:
建立資訊管理相關程序書及作業文件,執行資安政策管理、資安合規控管並持續進行營運應變演練,保護公司重要系統與資料安全。
2.資安意識推動:
推動資安月活動,定期進行資安教育訓練及演練,以提升員工資安意識。
3.資通安全風險管控及因應措施:
本公司訂有資訊軟體作業系統及資訊安全災害復原處理機制規範針對本公司資訊服務系統之電腦主機、資料庫系統、應用軟體系統及個人電腦、營運資訊、個人隱私資訊等資訊資產之控管,建立合乎資訊安全管理系統(ISMS)之原則,確保達到資訊的機密性、完整性與可用性三個目標,並推動強化資訊安全管理,建立安全及可信賴之電子資訊運作環境,確保本公司之資訊系統以及營運資料遭遇資訊安全事故時,可迅速通報並採取相關緊急應變機制,於最短時間內回復正常營運,以確保公司業務之永續運作。
本公司提升資通安全強化管理與防禦架構內容說明如下:
1.資安治理:
建立資訊管理相關程序書及作業文件,執行資安政策管理、資安合規控管並持續進行營運應變演練,保護公司重要系統與資料安全。
2.資安意識推動:
推動資安月活動,定期進行資安教育訓練及演練,以提升員工資安意識。
3.資通安全風險管控及因應措施:
本公司訂有資訊軟體作業系統及資訊安全災害復原處理機制規範針對本公司資訊服務系統之電腦主機、資料庫系統、應用軟體系統及個人電腦、營運資訊、個人隱私資訊等資訊資產之控管,建立合乎資訊安全管理系統(ISMS)之原則,確保達到資訊的機密性、完整性與可用性三個目標,並推動強化資訊安全管理,建立安全及可信賴之電子資訊運作環境,確保本公司之資訊系統以及營運資料遭遇資訊安全事故時,可迅速通報並採取相關緊急應變機制,於最短時間內回復正常營運,以確保公司業務之永續運作。
本公司提升資通安全強化管理與防禦架構內容說明如下:
| 項目 | 內容說明 |
|---|---|
| 資通安全防禦架構 | 1.避免駭客惡意流量攻擊,投入 DDoS 防禦架構建設。 2.預防勒索軟體進入,進行機房區域重要設備安裝端點防護軟體,防範未知型檔案程式攻擊。 3.避免未知型釣魚郵件滲透,優化垃圾郵件阻斷機制以及增購郵件閘道反攻擊防護系統設備建置。 4.對外連線各項防火牆建置完成。 5.備份軟硬體擴充:進行ServerFarm區備份強化,避免勒索軟體危害 |
| 資安治理與宣導 | 1.透過「開機宣導平台」、「線上學習平台」教育員工瞭解資訊安全觀念。 2.「利用郵件來源驗證機制」,降低遭受釣魚郵件風險。 3.進行資安月活動,執行員工社交工程演練,提升員工郵件警覺性以及資安意識。 |
| 強化資通安全管理機制 | 1.加入台灣電腦網路危機處理暨協調中心(TWCERT)資安聯盟會員,與聯盟成員進行資安情資交流。 2.訂閱國內與國際資安組織情資,即時獲得駭客攻擊資訊。 |