▍資訊安全委員會組織
▍管理方案
- 定期執行弱點掃描、系統更新及社交工程攻擊演練,降低駭客入侵。
- 使用防火牆過濾惡意網站及程式。
- 使用郵件過濾軟體過濾郵件病毒及垃圾郵件。
- 更新防毒軟體,防止感染各類病毒。
- 進行軟硬體供應商查核及簽訂「委外廠商人員保密切結書」。
- 加入「台灣CERT/CSIRT聯盟」組織會員,進行資安情資分享與資安事件之通報、應變與協處。
- 加強資安宣導及教育訓練。
- 導入加密系統,針對機密文件加密,防止資料外洩。
- 針對關鍵主機定期備份及簽訂備援服務,並且每年執行災害演練。
- 定期審查特權帳號及一般帳號,控管帳號。
- 設置系統開發測試環境,減少人為疏失。
- 外部人員必須提出申請,才可使用內部網路資源。
- 收集系統軌跡紀錄,防止他人非法進入系統。
▍執行成果與具體作為
2023年無發生任何影響公司營運之資訊安全事件。
- 「資安暨個資管理委員會」定期召開會議;並由資訊處主管每年定期向董事會報告資訊安全執行成果。最近一次於2023年11月9日向董事會報告。
- 於2023年持續通過 ISO 27001資訊安全管理系統認證。
▍資訊安全與個資事件通報流程
若遇資訊安全與個資事件通報,將依照公司通報處理流程步驟進行處理。
1
通報
2
問題初判
3
問題研判
4
障礙排除作業
5
服務復原作業
6
結案