資通安全風險管理組織
本公司指定資訊部最高主管為資安主管,並設立「資通安全委員會」及「資通安全執行小組」以強化本公司之資通安全。「資通安全委員會」係由資安主管擔任召集人,公司內各單位包含稽核室、資訊部、管理部、法務暨市場部各委派1人為委員,另成立「資通安全執行小組」由召集人指派資訊部人員擔任組員,負責規劃及執行各項資通安全作業,包含資通安全預防及事件處理。
「資通安全委員會」核定「資通安全執行小組」所擬訂之資通安全政策,並定期召開管理審查會議,或於組織有重大變更時(如組織調整、業務重大異動等)重新評估政策之適用性。資通安全政策將依照評估結果、相關法令、技術及業務等最新發展現況予以適當修訂,以確保符合實際需求。「資通安全委員會」亦會每年定期向董事會報告資安風險管理情形,以加強董事對公司營運的督導與管理。
資通安全政策
全台晶像晶像股份有限公司
資通安全政策
一、政策目的:
本公司為了達到下列之營運與管理目標,訂定本政策。
-
公司之資訊化作業得以持續不間斷運作,維持內部制度管理之有效性,提升資訊服務品質。
-
確保處理與利用之所有資訊的機密性、完整性與正確性。
-
有關蒐集、處理與利用個人資訊之業務流程,符合個人資料保護法的要求。
二、適用範圍:
本公司全體人員、業務往來單位、委外服務廠商、訪客及使用本公司資訊服務之使用者等。
三、政策要求:
-
本公司應落實相關法令之遵循,包括智慧財產權保護法、個人資料保護法,以及與外部單位簽訂之協議、契約等。
-
由資訊部與管理部負責推動相關管理制度之計畫、執行與溝通協調,並積極辦理資訊安全與個人資料保護之教育訓練及宣導,以確保人員熟悉業務執行所負之安全責任。
-
本公司員工因執行業務而持有之資訊資產以公有公用為原則,依其需求進行分類分級與風險評估,以達到有效控管;資訊化作業依業務執行之實際需求,規劃營運持續管理,以確保資訊化作業之可用性。
-
實體辦公環境及重要資訊設備機房均進行出入管制,以維持環境之安全。
-
為防範電腦病毒及惡意軟體影響作業,除經合法授權之系統及應用軟體外,禁止使用其他非授權軟體。
-
為確保管理制度之有效性,凡違反管理制度相關程序規範者,依相關規定審議懲處。
四、責任:
-
本公司成立管理組織統籌相關管理制度之推動。
-
管理階層應積極參與及支持管理制度,並透過適當的標準和程序以實施本政策。
-
本公司全體人員、委外服務廠商與訪客等皆應遵守本政策。
-
本公司全體人員及委外服務廠商均有責任透過適當通報機制,通報資訊安全事件或弱點。
-
任何危及資訊安全與個人資訊保護之行為,將視情節輕重追究其民事、刑事及行政責任。
五、實施與修正:
本政策經資訊安全委員會審查通過,由總經理核定後實施,修正時亦同。 |
資通安全的具體管理方案
本公司考量資安險仍是新興險種,涉及資安等級檢測機構、理賠鑑識機構及不理賠條件等相關配套,因此經資通安全委員會評估後,暫不購買資安險。本公司目前針對資安風險管理之主要措施與執行情形如下,已能有效防護資通安全,並提報112年11月2日董事會:
項目
|
具體管理方案
|
防火牆防護
|
-
防火牆設定連線規則,預設只開放基本上網、郵件連線。
-
如有特殊連線需求需經高階主管核准始能開放。
-
每月監控分析防火牆被攻擊數。
|
使用者上網控管機制
|
-
使用自動網站防護系統監控使用者上網行為。
-
自動過濾使用者上網可能連結到有木馬病毒、勒索病毒或惡意程式的網站。
-
未經核准禁止使用即時通訊軟體、Web Mail、網路硬碟、檔案傳輸等網路服務。
|
無線網路控管機制
|
-
無線網路僅開放公務筆電和手機、平板等移動裝置使用,且需經高階主管核准後始得開放。
-
無線網路需鎖定裝置MAC碼,確保只有經核准的裝置能夠使用。
-
依使用者裝置與需求,設定不同連線SSID控管連線主機的權限。
|
資訊機房安全管控
|
-
機房進出有門禁系統,進出需刷員工識別證,非經允許不得進入。
-
機房有UPS不斷電系統,不正常停電時可自動將伺服器關機,保護伺服器系統不因停電而故障。
|
防毒軟體
|
-
使用多種防毒軟體,分散新病毒中毒機會。
-
定時更新防毒軟體病毒碼,降低中毒風險。
|
USB磁碟存取管制
|
-
使用者電腦預設禁止使用USB裝置,因公務需求需使用USB裝置,需經部門主管最高主管、總經理核准後始得開放。
-
USB裝置需經資訊部認證設定後才能使用,未經認證的USB裝置,即使在開放USB電腦也是無法使用。
|
作業系統更新
|
-
作業系統重大與安全性更新,由自動更新系統統一控管,自動派送安裝到公司電腦。
-
資訊部監控因故未更新者,由資訊部協助更新。
|
郵件安全管控
|
-
有自動郵件掃描威脅防護,在使用者接收郵件之前,事先防範不安全的附件檔案、釣魚郵件、垃圾郵件,及擴大防止惡意連結的保護範圍。
-
個人電腦接收郵件後,防毒軟體也會掃描是否包含不安全的附件檔案。
|
使用者郵件安全管控
|
-
可統計使用者外部郵件收發件數與明細,監控異常收發狀況,避免機密資料外洩。
|
網站防護機制
|
-
網站有防火牆裝置阻擋外部網路攻擊。
-
網站有防竄寫機制,自動將被竄改內容更正。
|
高可用性備援機制
|
-
各項重要資訊系統,皆有建立高可用性機制。可在系統故障時於最短時間內恢復系統運作。
|
資訊系統與資料庫備份機制
|
-
重要資訊系統資料庫皆設定每日完整備份、每小時差異備份。
-
資訊系統程式每日完整備份一次。
|
異地存放
|
-
伺服器與各項資訊系統備份檔,分開存放於不同廠房的資訊機房保存。
|
重要檔案上傳伺服器
|
-
公司內各部門重要檔案上傳伺服器存放,由資訊部統一備份保存。
|
資訊中心檢查紀錄表
|
-
資訊中心檢查紀錄表紀錄機房溫溼度、資料備份、防毒軟體更新、網路流量等紀錄。
|
員工資訊安全意識宣導
|
-
新進員工皆須簽署「員工資訊作業切結書」,了解各項公司內外資訊之收發及存取規範。
-
不定期發佈公告,宣導員工不隨意開啟可疑郵件或附檔,以及防洩密宣導簡報。
|
投入資通安全管理之資源
-
資訊部共設置3人負責資通安全管理。
-
由專業資安廠商協助防火牆連線規則備份與管理諮詢、防毒與備份系統授權與管理諮詢,並提供進階整合型端點防護……等服務,每月費用支出共48仟元,每年合計582仟元;另購置防毒軟體授權支出304仟元、備份軟體授權支出93仟元,及購置備份伺服器等相關硬體設備支出140仟元。
-
112年對全體員工實施相關「資訊安全教育訓練」達2小時,總共903人次,訓練時數1,806小時,完訓率達100%。