公司治理專區
- 資通安全風險管理架構 :
(1)資通安全相關政策、計畫、措施及技術規範之研議,以及安全技術之研究、建置及評估相關事項,由資訊單位負責辦理。
(2)資料及資通系統安全之需求研議、使用管理及保養等事項,由相關業務單位負責辦理。
(3)所有人員和委外服務廠商等均須依照安全管理程序以維護資通安全政策。
- 資通安全政策:
(1) 目的:
為維護公司主機、網路設備及網路通訊等之整體資通安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改、服務中止或破壞等風險,確保其具機密性、可用性、完整性,以維護公司正常營運需要,特訂定本政策。
(2) 目標:
- 強化資訊與通訊安全管理、提升防護能力,建立安全可靠的資通作業環境。
- 機密性(Confidentiality):資訊系統訊息在處理中或傳輸過程中均能保障在對的人、對的時間、對的裝置和對的地點上被存取,確保只有經過授權的人才能存取資訊系統,保護機密資料不外洩。
- 完整性(Integrity):任何儲存在本公司的資訊系統中的資料,在處理中或在傳輸過程中均要保護,以防不當竄改及資訊系統在運作中被不當的操縱或入侵。
- 可用性(Availability):確保授權的使用者在需要使用資訊系統時,均可在適當的時間內獲得回應並完成服務需求。
- 確保核心服務及網路運作可用率。
- 確保因資通安全或其他異常事件,所造成系統故障而中斷業務服務能迅速恢復正常。
- 確保本公司資通安全措施或規範,符合法令、法規要求。
- 確保資通安全事件或可疑弱點,均依適當通報機制反映,並予以適當調查及處理。
- 具體管理方案及投入資通安全管理之資源:
本公司除建置安全的資訊環境外並持續投入預算改善弱點提升系統作業效能,主要資通安全管理方案如下:
網路安全 | 建置網路防火牆阻斷外部網路攻擊 建置端點防護,防止電腦病毒與駭客入侵 建置Mail備份防毒機制,阻絕垃圾郵件攻擊及符合沙賓法案追蹤查詢紀錄 |
資料系統安全 | 建置資料備份機制將重要系統資料備份並定期做還原演練 將重要應用系統虛擬化並每日備份 |
應用程式安全 | 建立應用系統開發流程從開發、測試、驗收上線均遵照SOP 資訊系統委外維護透過遠端連線遵照資安權限控管 |
教育訓練與宣導 | 定期做資安宣導與教育訓練 加強員工對郵件社交工程警覺性,執行釣魚郵件演練 |
員工資訊安全 | 簽訂員工安全保密切結書 提供人員在職期間之教育訓練,確保各項資訊資產及系統作業的安全性與正確性 |
本公司資通安全通報程序如下,資安事故之通報與處理,皆遵守該程序之規範進行。
截至年報刊印日止,本公司並未發現任何重大的網路攻擊或事件,雖有公司信箱收到大量恐嚇勒索郵件及大量比特幣詐騙信件事件,但經下列措施並未造成重大影響:
1.封鎖來源郵件地址。
2.公告全公司同仁檢查信箱系統,並附上檢查教學附件,必要時更改密碼。
3.進行郵件系統帳號弱密碼檢查,並要求篩選出帳號使用者變更密碼。