资讯安全政策及管理
概况
公司设有信息安全管理组织,负责制定信息安全政策,规划信息安全措施,并执行相关之信息安全作业,为了更符合国际信息安全管理趋势及客户对于信息安全的要求,2023年3月全力导入ISO27001(ISMS)信息安全验证工作,建立更有效的信息安全管理。
于2024年6月经ISO国际验证机构DQS优丽国际管理系统验证股份有限公司稽核通过ISO/IEC 27001:2022 信息安全管理系统(Information Security Management System 国际验证。
 
资讯安全管理组织
本公司于2023年成立资讯安全委员会,由5位具备资通安全事务相关经历专业人员担任委员;2023年设置资安专责主管及资安专责人员,并由资安专责主管担任该委员会之召集 人,管理代表由资安暨资讯管理部主管担任。

资讯安全委员会负责统筹本集团资讯安全政策管理、资讯安全运作、资讯安全架构、资讯安全风险管理与遵循查核管控。
运作情形:2023年资讯安全委员会开会次数12次。
资讯安全政策则由资讯安全委员会依据ISO 27001与上市柜资通指引要求拟定,内容包含资讯设备使用准则、密码使用准则、公司电子邮件使用准则、网际网路使用准则、资讯处理准则、软体使用与授权准则、防毒与资料外泄防护软体部署原则、远端存取准则、资安事件管理准则;资讯安全委员会亦每年定期检视资讯安全政策内容,2023年度已开会12次。
组织运作模式采取PDCA(Plan-Do-Check-Act)循环式管理,确保目标之达成且持续改善。
 
 
资讯安全目标
1. 办理资讯安全教育训练,推广员工资讯安全之意识与强化其对相关责任之认知。
2. 保护本公司业务活动资讯,避免未经授权的存取与修改,确保其正确完整。
3. 定期进行稽核与技术性审查作业,确保相关作业皆能确实落实。
4. 确保本公司关键核心系统维持一定水准的系统可用性。
 
资讯安全设施与管理方式
1.资安情资
公司加入台湾电脑网路危机处理暨协调中心(TWCERT-TWISAC)、科学园区资安资讯分享与分析中心(SP-ISAC),定期接收资安情报并参加相关单位举办的资安相关研讨会,透过提早接收IOC入侵指标,得知中继站IP位址提早加入于防火墙,可提早实施防护措施降低被攻击可能性。
 
2.电脑病毒防护
安装有端点防护软体,自动更新病毒码,并定期全硬碟扫描,确保能阻挡已知最新型的病毒,同时可侦测、防止具有潜在威胁性的系统执行档之安装行为。
 
3.网路安全管理
设置防火墙网路,阻挡骇客的非法入侵,使用资讯维运工具监控网路服务情形,发现可疑行为,立即将其引导至隔离网路区段,拒绝其使用本公司网路服务。
设置上网代理伺服器,保护员工上网过滤内容、拦阻高风险网站,有利于保障网路终端的隐私和安全,在一定程度上能够阻止网路攻击。
 
4.系统存取控制
依据存取控制管理办法,能够让适当的人员进入,并将不当的人员阻绝在外,经权责单位主管核准后才开立系统权限,并定期覆核权限合理性保护数位资讯空间。
 
5.营运持续运作
结合预防和復原控制措施,将资讯业务灾害或故障(如资讯相关意外、蓄意行为、安全区域公用设施和ICT服务设备故障等)依业务流程之重要性及冲击程度,依据资讯维运管理目标制定各资讯资产造成的中断情形降低到可接受的范围。
 
6.定期社交演练与教育训练
定期进行社交工程警觉性测试,辅以后端回报的统计系统,对照资安政策与规范,检测出使用者对电子邮件社交工程的警觉程度,以及资安防护的知识水准,并安排资安宣导或资讯安全教育训练完备人员资讯安全之正确作业方式与整体防护观念,推广员工资讯安全之意识与强化其对相关责任之认知。
 
资安事件通报应变流程
本公司设有信息通报机制平台,同仁可以透过平台进行在线通报所遭遇之信息安全事件,经营管理中心于接获通报后,将先依据事件分类及进行等级划分处理。2023年同仁通报信息安全事件为0 件。