資通安全管理架構
●為維護公司整體資訊安全,強化各項資訊資產之安全管理,確保其具機密性、完整性、可用性,免於因外在之威脅或人為疏失、
蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對公司造成各種可能之風險及危害,已制訂
「資訊安全政策」,供全體同仁遵循,該政策並已經董事會通過。
●本公司負責資訊安全之專責單位為資安課,該單位設置資訊安全專責主管一位,專責資安人員一位,負責訂定公司內部資訊安全
政策、規劃和執行資訊安全政策推動與落實以及資訊安全的防護。
●資訊安全的評估採用PDCA(Plan,Do,Check,Action)模式,定期進行獨立及客觀的評估,以反映資訊安全管理政策、法令、
技術及業務之最新狀況,確保資訊安全實務作業確實遵守政策,以及確保資訊安全實務作業之可行性及有效性。
實體與環境安全管理
●架構資訊系統平台所用實體伺服器等相關設備,有系統地安置於有門禁管控的電腦主機房內,只有管理者與被授權的人員允許
進入,其餘訪客須由上述人員陪同方可進入並須登錄。
●伺服器、網路設備,架構上採用備援容錯、叢集等設計,以確保系統與硬體設備的高可用性,用以儲存資料與備份的實體設備,
配合磁碟陣列、備援等設計,藉以提升資料的保護與可用度;同時電腦機房系統有接UPS 不斷電系統,避免停電造成的損害。
●採取防禦措施,部署資安防禦設備,設置阻隔不同網路的防火牆和入侵偵測防禦系統,防止外部非法使用者的蓄意破壞、攻擊
或篡改,以確保系統與資料的完整性。
資訊安全權責與教育訓練
●對處理敏感性、機密性資料之人員及因工作需要須賦予系統管理權限之人員,妥適分工,分散權責,及視需要建立人員相互
支援制度。
●定期舉辦社交工程演練,並安排教育訓練及宣導,促使員工瞭解資訊安全的重要性,各種可能的安全風險,以提高員工資訊
安全意識,促其遵守資訊安全規定。
●對離(休、停)職人員,依據人員離(休、停)職之處理程序辦理,並立即取消使用各項系統資源所有權限。
資訊安全作業管理及保護
●電腦系統需有帳號和密碼管控且密碼必需定期更新,登入網域和資訊系統授權須經正式申請流程訂定帳號密碼核發、授予各級
人員適當存取的權限及變更程序並留存記錄,使其登入網域或資訊系統時執行任務所必要之系統存取權限,防護未經授權的修改
以保護資訊的完整性。
●資料依重要與機密程度不同,做不同的分級,再套用不同的權限管理,保護資訊避免受到未被授權的存取保持資訊的機密性。
●導入多因素驗證,公司電腦均需安裝防毒軟體防護並定期更新病毒定義檔,由系統自動派送到個人電腦並設定螢幕保護程式,
以強化個人電腦作業及資料安全。
●員工遠端工作或由外連回公司時,須使用公司筆電以VPN安全連線的方式運作。
●公司重要資訊系統需每天執行系統備份和異地備份,並定期進行抽檢還原演練,以確保備份資料的可還原性。
●建立關鍵系統備援設施,以便發生災害或儲存媒體失效時,以確保關鍵性業務可持續運作,並盡快回復正常作業。
●公司電腦均需裝安控軟體,對於即時通訊、USB儲存裝置、手機裝置、光碟燒錄機、外部雲端硬碟、Webmail檔案上傳均有管控。
●機密資料集中化,機密性及敏感性的資料或文件,不存放在對外開放的資訊系統中,機密性文件不以電子郵件傳送,對於機密資料
的存取進行管理監控,全方位保護公司資產。
●公司有線/無線網路根據員工或訪客身分不同,做不同的分流管控。
●強化資安防護,勿下載、勿使用來源不明的軟體及網通設備,勿開啟有疑慮的信件附件和連結不安全網站,使用合法軟體且配合進
行必要的系統更新。
●訂定公司資訊安全事件通報處理作業原則,進行資訊安全事件通報與處理程序,以降低資訊安全事件造成之損害並加以記錄。
112年資通安全管理執行情形
本公司已經董事會決議成立資安專責單位(資安課)及制訂「資訊安全政策」,資安課設置資訊安全專責主管及專責資安人員各一位。
資安課主管已將112年資通安全管理執行情形,提報112年11月10日董事會,說明如下:
●持續強化員工資安意識,建立符合法規與客戶需求的資訊安全架構。
●不定期藉實例宣導詐騙釣魚信事件,以增加員工對郵件社交工程的警覺性,防止相關資安事件發生。
●持續定期審視系統電腦確效狀態,若有需要則需進行再確效。
●持續增強公司無線網路的安全性,並定期審視公司重要系統的權限。
●持續增強公司重要文件的系統管控,導入更安全嚴謹的電腦資訊系統,以利公司重要文件電子簽核和管控。
●持續汰換已End of Service 版本的作業系統。
●評估新世代防火牆,以因應並防堵未來越趨複雜的網路攻擊。
●增強伺服器端的資安,採雙因子認證。
112年具體措施:
●為提升員工的資安意識,本公司於112年2月舉辦兩場「社交工程線上資安講座」,參與對象為本公司經副理級(含)以上主管及承辦
業務與金流相關同仁,參與人數共計100人,總上課時數共100小時。
●本公司於112年1月及12月進行社交工程演練,於測試期間之工作日,向經理級(含)以上主管、承辦業務與金流相關同仁及各單位隨
機選取2~3位員工,發送社交工程演練郵件,除藉此強化員工資安概念外,並可由演練結果了解資安措施之成效及需強化部份。
●112年1月定期審閱系統電腦確效狀態,依據年度審視評估項目判定是否再確效,評估結論紀錄於電腦化系統確效狀態審閱表,若需
執行再確效,即加入當年度確效主計畫中進行追蹤和管理,以確保電腦系統符合 GAMP5 的規範。
●112年12月進行公司重要系統權限審視。
●112年6月及12月進行共兩次公司重要系統災難還原演練。
![資通安全風險管理架構暨具體執行狀況]( "資通安全風險管理架構暨具體執行狀況")
●為維護公司整體資訊安全,強化各項資訊資產之安全管理,確保其具機密性、完整性、可用性,免於因外在之威脅或人為疏失、
蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對公司造成各種可能之風險及危害,已制訂
「資訊安全政策」,供全體同仁遵循,該政策並已經董事會通過。
●本公司負責資訊安全之專責單位為資安課,該單位設置資訊安全專責主管一位,專責資安人員一位,負責訂定公司內部資訊安全
政策、規劃和執行資訊安全政策推動與落實以及資訊安全的防護。
●資訊安全的評估採用PDCA(Plan,Do,Check,Action)模式,定期進行獨立及客觀的評估,以反映資訊安全管理政策、法令、
技術及業務之最新狀況,確保資訊安全實務作業確實遵守政策,以及確保資訊安全實務作業之可行性及有效性。
實體與環境安全管理
●架構資訊系統平台所用實體伺服器等相關設備,有系統地安置於有門禁管控的電腦主機房內,只有管理者與被授權的人員允許
進入,其餘訪客須由上述人員陪同方可進入並須登錄。
●伺服器、網路設備,架構上採用備援容錯、叢集等設計,以確保系統與硬體設備的高可用性,用以儲存資料與備份的實體設備,
配合磁碟陣列、備援等設計,藉以提升資料的保護與可用度;同時電腦機房系統有接UPS 不斷電系統,避免停電造成的損害。
●採取防禦措施,部署資安防禦設備,設置阻隔不同網路的防火牆和入侵偵測防禦系統,防止外部非法使用者的蓄意破壞、攻擊
或篡改,以確保系統與資料的完整性。
資訊安全權責與教育訓練
●對處理敏感性、機密性資料之人員及因工作需要須賦予系統管理權限之人員,妥適分工,分散權責,及視需要建立人員相互
支援制度。
●定期舉辦社交工程演練,並安排教育訓練及宣導,促使員工瞭解資訊安全的重要性,各種可能的安全風險,以提高員工資訊
安全意識,促其遵守資訊安全規定。
●對離(休、停)職人員,依據人員離(休、停)職之處理程序辦理,並立即取消使用各項系統資源所有權限。
資訊安全作業管理及保護
●電腦系統需有帳號和密碼管控且密碼必需定期更新,登入網域和資訊系統授權須經正式申請流程訂定帳號密碼核發、授予各級
人員適當存取的權限及變更程序並留存記錄,使其登入網域或資訊系統時執行任務所必要之系統存取權限,防護未經授權的修改
以保護資訊的完整性。
●資料依重要與機密程度不同,做不同的分級,再套用不同的權限管理,保護資訊避免受到未被授權的存取保持資訊的機密性。
●導入多因素驗證,公司電腦均需安裝防毒軟體防護並定期更新病毒定義檔,由系統自動派送到個人電腦並設定螢幕保護程式,
以強化個人電腦作業及資料安全。
●員工遠端工作或由外連回公司時,須使用公司筆電以VPN安全連線的方式運作。
●公司重要資訊系統需每天執行系統備份和異地備份,並定期進行抽檢還原演練,以確保備份資料的可還原性。
●建立關鍵系統備援設施,以便發生災害或儲存媒體失效時,以確保關鍵性業務可持續運作,並盡快回復正常作業。
●公司電腦均需裝安控軟體,對於即時通訊、USB儲存裝置、手機裝置、光碟燒錄機、外部雲端硬碟、Webmail檔案上傳均有管控。
●機密資料集中化,機密性及敏感性的資料或文件,不存放在對外開放的資訊系統中,機密性文件不以電子郵件傳送,對於機密資料
的存取進行管理監控,全方位保護公司資產。
●公司有線/無線網路根據員工或訪客身分不同,做不同的分流管控。
●強化資安防護,勿下載、勿使用來源不明的軟體及網通設備,勿開啟有疑慮的信件附件和連結不安全網站,使用合法軟體且配合進
行必要的系統更新。
●訂定公司資訊安全事件通報處理作業原則,進行資訊安全事件通報與處理程序,以降低資訊安全事件造成之損害並加以記錄。
112年資通安全管理執行情形
本公司已經董事會決議成立資安專責單位(資安課)及制訂「資訊安全政策」,資安課設置資訊安全專責主管及專責資安人員各一位。
資安課主管已將112年資通安全管理執行情形,提報112年11月10日董事會,說明如下:
●持續強化員工資安意識,建立符合法規與客戶需求的資訊安全架構。
●不定期藉實例宣導詐騙釣魚信事件,以增加員工對郵件社交工程的警覺性,防止相關資安事件發生。
●持續定期審視系統電腦確效狀態,若有需要則需進行再確效。
●持續增強公司無線網路的安全性,並定期審視公司重要系統的權限。
●持續增強公司重要文件的系統管控,導入更安全嚴謹的電腦資訊系統,以利公司重要文件電子簽核和管控。
●持續汰換已End of Service 版本的作業系統。
●評估新世代防火牆,以因應並防堵未來越趨複雜的網路攻擊。
●增強伺服器端的資安,採雙因子認證。
112年具體措施:
●為提升員工的資安意識,本公司於112年2月舉辦兩場「社交工程線上資安講座」,參與對象為本公司經副理級(含)以上主管及承辦
業務與金流相關同仁,參與人數共計100人,總上課時數共100小時。
●本公司於112年1月及12月進行社交工程演練,於測試期間之工作日,向經理級(含)以上主管、承辦業務與金流相關同仁及各單位隨
機選取2~3位員工,發送社交工程演練郵件,除藉此強化員工資安概念外,並可由演練結果了解資安措施之成效及需強化部份。
●112年1月定期審閱系統電腦確效狀態,依據年度審視評估項目判定是否再確效,評估結論紀錄於電腦化系統確效狀態審閱表,若需
執行再確效,即加入當年度確效主計畫中進行追蹤和管理,以確保電腦系統符合 GAMP5 的規範。
●112年12月進行公司重要系統權限審視。
●112年6月及12月進行共兩次公司重要系統災難還原演練。
