資通安全管理

EDT/資通安全管理

資通安全風險管理組織

本公司指定資訊部最高主管為資安主管,並設立「資通安全委員會」及「資通安全執行小組」以強化本公司之資通安全。「資通安全委員會」係由資安主管擔任召集人,公司內各單位包含稽核室、資訊部、管理部、法務暨市場部各委派1人為委員,另成立「資通安全執行小組」由召集人指派資訊部人員擔任組員,負責規劃及執行各項資通安全作業,包含資通安全預防及事件處理。

 

「資通安全委員會」核定「資通安全執行小組」所擬訂之資通安全政策,並定期召開管理審查會議,或於組織有重大變更時(如組織調整、業務重大異動等)重新評估政策之適用性。資通安全政策將依照評估結果、相關法令、技術及業務等最新發展現況予以適當修訂,以確保符合實際需求。「資通安全委員會」亦會每年定期向董事會報告資安風險管理情形,以加強董事對公司營運的督導與管理。

資通安全政策

全台晶像晶像股份有限公司內容
項目內容
政策目的本公司為了達到下列之營運與管理目標,訂定本政策:
  • 公司之資訊化作業得以持續不間斷運作,維持內部制度管理之有效性,提升資訊服務品質。
  • 確保處理與利用之所有資訊的機密性、完整性與正確性。
  • 有關蒐集、處理與利用個人資訊之業務流程,符合個人資料保護法的要求。
適用範圍本公司全體人員、業務往來單位、委外服務廠商、訪客及使用本公司資訊服務之使用者等。
政策要求
  • 本公司應落實相關法令之遵循,包括智慧財產權保護法、個人資料保護法,以及與外部單位簽訂之協議、契約等。
  • 由資訊部與管理部負責推動相關管理制度之計畫、執行與溝通協調,並積極辦理資訊安全與個人資料保護之教育訓練及宣導,以確保人員熟悉業務執行所負之安全責任。
  • 本公司員工因執行業務而持有之資訊資產以公有公用為原則,依其需求進行分類分級與風險評估,以達到有效控管;資訊化作業依業務執行之實際需求,規劃營運持續管理,以確保資訊化作業之可用性。
  • 實體辦公環境及重要資訊設備機房均進行出入管制,以維持環境之安全。
  • 為防範電腦病毒及惡意軟體影響作業,除經合法授權之系統及應用軟體外,禁止使用其他非授權軟體。
  • 為確保管理制度之有效性,凡違反管理制度相關程序規範者,依相關規定審議懲處。
責任
  • 本公司成立管理組織統籌相關管理制度之推動。
  • 管理階層應積極參與及支持管理制度,並透過適當的標準和程序以實施本政策。
  • 本公司全體人員、委外服務廠商與訪客等皆應遵守本政策。
  • 本公司全體人員及委外服務廠商均有責任透過適當通報機制,通報資訊安全事件或弱點。
  • 任何危及資訊安全與個人資訊保護之行為,將視情節輕重追究其民事、刑事及行政責任。
實施與修正本政策經資訊安全委員會審查通過,由總經理核定後實施,修正時亦同。

資通安全的具體管理方案

本公司考量資安險仍是新興險種,涉及資安等級檢測機構、理賠鑑識機構及不理賠條件等相關配套,因此經資通安全委員會評估後,暫不購買資安險。本公司目前針對資安風險管理之主要措施與執行情形如下,已能有效防護資通安全,並提報113年11月5日董事會:

項目具體管理方案
項目管理方案
防火牆防護
  • 防火牆設定連線規則,預設只開放基本上網、郵件連線。
  • 如有特殊連線需求需經高階主管核准始能開放。
  • 每月監控分析防火牆被攻擊數。
使用者上網控管機制
  • 使用自動網站防護系統監控使用者上網行為。
  • 自動過濾使用者上網可能連結到有木馬病毒、勒索病毒或惡意程式的網站。
  • 未經核准禁止使用即時通訊軟體、Web Mail、網路硬碟、檔案傳輸等網路服務。
無線網路控管機制
  • 無線網路僅開放公務筆電和手機、平板等移動裝置使用,且需經高階主管核准後始得開放。
  • 無線網路需鎖定裝置MAC碼,確保只有經核准的裝置能夠使用。
  • 依使用者裝置與需求,設定不同連線SSID控管連線主機的權限。
資訊機房安全管控
  • 機房進出有門禁系統,進出需刷員工識別證,非經允許不得進入。
  • 機房有UPS不斷電系統,不正常停電時可自動將伺服器關機,保護伺服器系統不因停電而故障。
防毒軟體
  • 使用多種防毒軟體,分散新病毒中毒機會。
  • 定時更新防毒軟體病毒碼,降低中毒風險。
USB磁碟存取管制
  • 使用者電腦預設禁止使用USB裝置,因公務需求需使用USB裝置,需經部門主管最高主管、總經理核准後始得開放。
  • USB裝置需經資訊部認證設定後才能使用,未經認證的USB裝置,即使在開放USB電腦也是無法使用。
作業系統更新
  • 作業系統重大與安全性更新,由自動更新系統統一控管,自動派送安裝到公司電腦。
  • 資訊部監控因故未更新者,由資訊部協助更新。
郵件安全管控
  • 有自動郵件掃描威脅防護,在使用者接收郵件之前,事先防範不安全的附件檔案、釣魚郵件、垃圾郵件,及擴大防止惡意連結的保護範圍。
  • 個人電腦接收郵件後,防毒軟體也會掃描是否包含不安全的附件檔案。
  • 可統計使用者外部郵件收發件數與明細,監控異常收發狀況,避免機密資料外洩。
DDoS攻擊防護
  • 網路有異常流量監控機制,偵測到異常流量或連線時,會主動開啟分流、清洗流量機制,以防外部攻擊。
網站防護機制
  • 網站有防火牆裝置阻擋外部網路攻擊。
  • 網站有防竄寫機制,自動將被竄改內容更正。
高可用性備援機制
  • 各項重要資訊系統,皆有建立高可用性機制。可在系統故障時於最短時間內恢復系統運作。
資訊系統與資料庫備份機制
  • 重要資訊系統資料庫皆設定每日完整備份、每小時差異備份。
  • 資訊系統程式每日完整備份一次。
異地存放
  • 伺服器與各項資訊系統備份檔,分開存放於不同廠房的資訊機房保存。
重要檔案上傳伺服器
  • 公司內各部門重要檔案上傳伺服器存放,由資訊部統一備份保存。
資訊中心檢查紀錄表
  • 資訊中心檢查紀錄表紀錄機房溫溼度、資料備份、防毒軟體更新、網路流量等紀錄。
員工資訊安全意識宣導
  • 新進員工皆須簽署「員工資訊作業切結書」,了解各項公司內外資訊之收發及存取規範。
  • 不定期發佈公告,宣導員工不隨意開啟可疑郵件或附檔,以及防洩密宣導簡報。

投入資通安全管理之資源

  • 資訊部共設置3人負責資通安全管理。
  •  

  • 由專業資安廠商協助防火牆連線規則備份與管理諮詢、備援系統管理諮詢,並提供進階整合型端點防護……等服務,每月費用支出共50仟元,每年合計600仟元;另購置防毒軟體授權支出650仟元、備份軟體授權支出308仟元,及購置備份伺服器等相關硬體設備支出1,350仟元。
  •  

  • 113年對全體員工實施相關「資訊安全教育訓練」達2小時,總共831人次,訓練時數1,662小時,完訓率達100%。