概況
公司設有資訊安全管理組織,負責制定資訊安全政策,規劃資訊安全措施,並執行相關之資訊安全作業,為了更符合國際資訊安全管理趨勢及客戶對於資訊安全的要求,2023年3月全力導入ISO27001(ISMS)資訊安全驗證工作,建立更有效的資訊安全管理。
於2024年6月經ISO國際驗證機構DQS優麗國際管理系統驗證股份有限公司稽核通過ISO/IEC 27001:2022 資訊安全管理系統(Information Security Management System 國際驗證。
於2024年6月經ISO國際驗證機構DQS優麗國際管理系統驗證股份有限公司稽核通過ISO/IEC 27001:2022 資訊安全管理系統(Information Security Management System 國際驗證。
資訊安全管理組織
本公司於2023年成立資訊安全委員會,由5位具備資通安全事務相關經歷專業人員擔任委員;2023年設置資安專責主管及資安專責人員,並由資安專責主管擔任該委員會之召集人,管理代表由資安暨資訊管理部主管擔任。
資訊安全委員會負責統籌本集團資訊安全政策管理、資訊安全運作、資訊安全架構、資訊安全風險管理與遵循查核管控。
運作情形:2023年資訊安全委員會開會次數12次。
資訊安全委員會負責統籌本集團資訊安全政策管理、資訊安全運作、資訊安全架構、資訊安全風險管理與遵循查核管控。
運作情形:2023年資訊安全委員會開會次數12次。
資訊安全政策則由資訊安全委員會依據ISO 27001與上市櫃資通指引要求擬定,內容包含資訊設備使用準則、密碼使用準則、公司電子郵件使用準則、網際網路使用準則、資訊處理準則、軟體使用與授權準則、防毒與資料外洩防護軟體部署原則、遠端存取準則、資安事件管理準則;資訊安全委員會亦每年定期檢視資訊安全政策內容,2023年度已開會12次。
組織運作模式採取PDCA(Plan-Do-Check-Act)循環式管理,確保目標之達成且持續改善。
組織運作模式採取PDCA(Plan-Do-Check-Act)循環式管理,確保目標之達成且持續改善。
資訊安全管理政策與目標
1. 辦理資訊安全教育訓練,推廣員工資訊安全之意識與強化其對相關責任之認知。
2. 保護本公司業務活動資訊,避免未經授權的存取與修改,確保其正確完整。
3. 定期進行稽核與技術性審查作業,確保相關作業皆能確實落實。
4. 確保本公司關鍵核心系統維持一定水準的系統可用性。
2. 保護本公司業務活動資訊,避免未經授權的存取與修改,確保其正確完整。
3. 定期進行稽核與技術性審查作業,確保相關作業皆能確實落實。
4. 確保本公司關鍵核心系統維持一定水準的系統可用性。
資訊安全設施與管理方式
1.資安情資
公司加入台灣電腦網路危機處理暨協調中心(TWCERT-TWISAC)、科學園區資安資訊分享與分析中心(SP-ISAC),定期接收資安情報並參加相關單位舉辦的資安相關研討會,透過提早接收IOC入侵指標,得知中繼站IP位址提早加入於防火牆,可提早實施防護措施降低被攻擊可能性。
公司加入台灣電腦網路危機處理暨協調中心(TWCERT-TWISAC)、科學園區資安資訊分享與分析中心(SP-ISAC),定期接收資安情報並參加相關單位舉辦的資安相關研討會,透過提早接收IOC入侵指標,得知中繼站IP位址提早加入於防火牆,可提早實施防護措施降低被攻擊可能性。
2.電腦病毒防護
安裝有端點防護軟體,自動更新病毒碼,並定期全硬碟掃描,確保能阻擋已知最新型的病毒,同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為。
安裝有端點防護軟體,自動更新病毒碼,並定期全硬碟掃描,確保能阻擋已知最新型的病毒,同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為。
3.網路安全管理
設置防火牆網路,阻擋駭客的非法入侵,使用資訊維運工具監控網路服務情形,發現可疑行為,立即將其引導至隔離網路區段,拒絕其使用本公司網路服務。
設置上網代理伺服器,保護員工上網過濾內容、攔阻高風險網站,有利於保障網路終端的隱私和安全,在一定程度上能夠阻止網路攻擊。
設置防火牆網路,阻擋駭客的非法入侵,使用資訊維運工具監控網路服務情形,發現可疑行為,立即將其引導至隔離網路區段,拒絕其使用本公司網路服務。
設置上網代理伺服器,保護員工上網過濾內容、攔阻高風險網站,有利於保障網路終端的隱私和安全,在一定程度上能夠阻止網路攻擊。
4.系統存取控制
依據存取控制管理辦法,能夠讓適當的人員進入,並將不當的人員阻絕在外,經權責單位主管核准後才開立系統權限,並定期覆核權限合理性保護數位資訊空間。
依據存取控制管理辦法,能夠讓適當的人員進入,並將不當的人員阻絕在外,經權責單位主管核准後才開立系統權限,並定期覆核權限合理性保護數位資訊空間。
5.營運持續運作
結合預防和復原控制措施,將資訊業務災害或故障(如資訊相關意外、蓄意行為、安全區域公用設施和ICT服務設備故障等)依業務流程之重要性及衝擊程度,依據資訊維運管理目標制定各資訊資產造成的中斷情形降低到可接受的範圍。
結合預防和復原控制措施,將資訊業務災害或故障(如資訊相關意外、蓄意行為、安全區域公用設施和ICT服務設備故障等)依業務流程之重要性及衝擊程度,依據資訊維運管理目標制定各資訊資產造成的中斷情形降低到可接受的範圍。
6.定期社交演練與教育訓練
定期進行社交工程警覺性測試,輔以後端回報的統計系統,對照資安政策與規範,檢測出使用者對電子郵件社交工程的警覺程度,以及資安防護的知識水準,並安排資安宣導或資訊安全教育訓練完備人員資訊安全之正確作業方式與整體防護觀念,推廣員工資訊安全之意識與強化其對相關責任之認知。
定期進行社交工程警覺性測試,輔以後端回報的統計系統,對照資安政策與規範,檢測出使用者對電子郵件社交工程的警覺程度,以及資安防護的知識水準,並安排資安宣導或資訊安全教育訓練完備人員資訊安全之正確作業方式與整體防護觀念,推廣員工資訊安全之意識與強化其對相關責任之認知。
資安事件通報應變流程
本公司設有資訊通報機制平台,同仁可以透過平台進行線上通報所遭遇之資訊安全事件,經營管理中心於接獲通報後,將先依據事件分類及進行等級劃分處理。2023年同仁通報資訊安全事件為0 件。