資訊安全管理

本公司體認資訊安全為企業永續發展重要議題;我們於2016年即成立「資安暨個資管理委員會」,2023年設置資安主管,負責防範外部威脅及內部管理疏失。

資訊安全委員會組織

  • 權責單位
    「資安暨個資管理委員會」以總經理為主任委員,資訊處處長為執行秘書,指派公司跨處室之一級主管為資訊安全代表,定期召開資訊安全審查會議。

資安風險防護與管理措施

2019年7月資安暨個資管理委員會決議引進外部顧問資源,同年12月啟動「資安管理制度導入暨驗證專
案」;已於2021年通過ISO 27001資訊安全管理系統驗證。

外部威脅防範

  • 定期執行弱點掃描、系統更新及社交工程攻擊演練,降低駭客入侵。
  • 使用防火牆過濾惡意網站及程式。
  • 使用郵件過濾軟體過濾郵件病毒及垃圾郵件。
  • 更新防毒軟體,防止感染各類病毒。
  • 進行軟硬體供應商查核及簽訂「委外廠商人員保密切結書」。
  • 加入「台灣CERT/CSIRT聯盟」組織會員,進行資安情資分享與資安事件之通報、應變與協處。

內部管理

  • 加強資安宣導及教育訓練。
  • 導入加密系統,針對機密文件加密,防止資料外洩。
  • 針對關鍵主機定期備份及簽訂備援服務,並且每年執行災害演練。
  • 定期審查特權帳號及一般帳號,控管帳號。
  • 設置系統開發測試環境,減少人為疏失。
  • 外部人員必須提出申請,才可存取內部網路資源(wifi)。
  • 收集系統軌跡紀錄,防止他人非法進入系統。
  • 隨身碟需註冊後才可在公司電腦使用。

執行成果與具體作為

2023無發生任何影響公司營運之資訊安全事件。

  • 「資安暨個資管理委員會」定期召開會議;並由資訊處主管每年定期向董事會報告資訊安全執行成果。最近一次於2023年11月9日向董事會報告。
  • 於2023年持續通過 ISO 27001資訊安全管理系統認證

資訊安全與個資事件通報流程

若遇資訊安全與個資事件通報,將依照公司通報處理流程步驟進行處理。

1

通報

  • 說明
    – 系統自動監控通知
    – 客戶通報異常事件
    – 人員查檢發現
    – 其他

  • 依據標準
    – 資訊安全與個資事件管理程序

  • 負責人
    – 同仁

2

問題初判

  • 說明
    – 針對異常問題進行初步判斷
    – 通報業務負責人

  • 依據標準
    – 資訊安全與個資事件管理程序

  • 負責人
    – 業務負責人

3

問題研判

  • 說明
    – 通報資訊安全與個資事件原因
    – 研判資訊安全與個資事件種類,等級,影響程度等
    – 研判所需處理事件時間及是否進行對外通報

  • 依據標準
    – 資訊安全與個資事件管理程序
    – 業務持續運作計畫

  • 負責人
    – 業務負責人
    – 風險管理與評鑑小組

4

障礙排除作業

  • 說明
    – 啟動障礙排除作業
    – 在系統檢查中,若系統自我修復則停止通報
    – 依SOP可直接進行排除並可結案
    – 啟動業務持續運作計畫
    – 評估是否需要外部支援
    – 進行資訊安全與個資事件通報
    – 指派人員統一對外回應事件

  • 依據標準
    – 資訊安全與個資事件管理程序
    – 業務持續運作計畫

  • 負責人
    – 業務負責人
    – 風險管理與評鑑小組

5

服務復原作業

  • 說明
    – 障礙排除說明
    – 資訊安全與個資事件彙總報告
    – 依矯正及改善程序執行,業對事件依受影響範圍依照「矯正-復原-檢討」之順序進行

  • 依據標準
    – 資訊安全與個資事件管理程序

  • 負責人
    – 業務負責人
    – 風險管理與評鑑小組

6

結案

  • 依據標準
    – 資訊安全與個資事件管理程序

  • 負責人
    – 業務負責人
    – 風險管理與評鑑小組