資通安全管理架構
●為維護公司整體資訊安全,強化各項資訊資產之安全管理,確保其具機密性、完整性、可用性,免於因外在之威脅或人為疏失、
蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對公司造成各種可能之風險及危害,已制訂
「資訊安全政策」,供全體同仁遵循,該政策並已經董事會通過。
●本公司負責資訊安全之專責單位為資安課,該單位設置資訊安全專責主管一位,專責資安人員一位,負責訂定公司內部資訊安全
政策、規劃和執行資訊安全政策推動與落實以及資訊安全的防護。
●資訊安全的評估採用PDCA(Plan,Do,Check,Action)模式,定期進行獨立及客觀的評估,以反映資訊安全管理政策、法令、
技術及業務之最新狀況,確保資訊安全實務作業確實遵守政策,以及確保資訊安全實務作業之可行性及有效性。
實體與環境安全管理
●架構資訊系統平台所用實體伺服器等相關設備,有系統地安置於有門禁管控的電腦主機房內,只有管理者與被授權的人員允許
進入,其餘訪客須由上述人員陪同方可進入並須登錄。
●伺服器、網路設備,架構上採用備援容錯、叢集等設計,以確保系統與硬體設備的高可用性,用以儲存資料與備份的實體設備,
配合磁碟陣列、備援等設計,藉以提升資料的保護與可用度;同時電腦機房系統有接UPS 不斷電系統,避免停電造成的損害。
●採取防禦措施,部署資安防禦設備,設置阻隔不同網路的防火牆和入侵偵測防禦系統,防止外部非法使用者的蓄意破壞、攻擊
或篡改,以確保系統與資料的完整性。
資訊安全權責與教育訓練
●對處理敏感性、機密性資料之人員及因工作需要須賦予系統管理權限之人員,妥適分工,分散權責,及視需要建立人員相互
支援制度。
●定期舉辦社交工程演練,並安排教育訓練及宣導,促使員工瞭解資訊安全的重要性,各種可能的安全風險,以提高員工資訊
安全意識,促其遵守資訊安全規定。
●對離(休、停)職人員,依據人員離(休、停)職之處理程序辦理,並立即取消使用各項系統資源所有權限。
資訊安全作業管理及保護
●電腦系統需有帳號和密碼管控且密碼必需定期更新,登入網域和資訊系統授權須經正式申請流程訂定帳號密碼核發、授予各級
人員適當存取的權限及變更程序並留存記錄,使其登入網域或資訊系統時執行任務所必要之系統存取權限,防護未經授權的修改
以保護資訊的完整性。
●資料依重要與機密程度不同,做不同的分級,再套用不同的權限管理,保護資訊避免受到未被授權的存取保持資訊的機密性。
●導入多因素驗證,公司電腦均需安裝防毒軟體防護並定期更新病毒定義檔,由系統自動派送到個人電腦並設定螢幕保護程式,
以強化個人電腦作業及資料安全。
●員工遠端工作或由外連回公司時,須使用公司筆電以VPN安全連線的方式運作。
●公司重要資訊系統需每天執行系統備份和異地備份,並定期進行抽檢還原演練,以確保備份資料的可還原性。
●建立關鍵系統備援設施,以便發生災害或儲存媒體失效時,以確保關鍵性業務可持續運作,並盡快回復正常作業。
●公司電腦均需裝安控軟體,對於即時通訊、USB儲存裝置、手機裝置、光碟燒錄機、外部雲端硬碟、Webmail檔案上傳均有管控。
●機密資料集中化,機密性及敏感性的資料或文件,不存放在對外開放的資訊系統中,機密性文件不以電子郵件傳送,對於機密資料
的存取進行管理監控,全方位保護公司資產。
●公司有線/無線網路根據員工或訪客身分不同,做不同的分流管控。
●強化資安防護,勿下載、勿使用來源不明的軟體及網通設備,勿開啟有疑慮的信件附件和連結不安全網站,使用合法軟體且配合進
行必要的系統更新。
●訂定公司資訊安全事件通報處理作業原則,進行資訊安全事件通報與處理程序,以降低資訊安全事件造成之損害並加以記錄。
資通安全管理執行情形
本公司已經董事會決議成立資安專責單位(資安課)及制訂「資訊安全政策」,資安課設置資安課主管及專責資安人員各一位。
資安課主管已將資通安全管理執行情形,提報114年11月13日董事會,說明如下:
114年資通安全管理執行狀況及具體措施:
●114年 1月完成導入MDR (Managed Detective & Response)威脅偵測與應變服務。
●114年 5月完成導入EDR (Endpoint Detection and Response)端點偵測與回應。
●114年 12月完成汰換即將End Of Life 的OA虛擬Server系統平台。
●114年3月完成改版SynChem-Formosa的網站,變更主機託管機構,具較多資安保護機制。
●114年6月、10月及12月進行共x次公司重要系統災難還原演練。
●114年10月完成已建立Mail ADM 進階防禦模組及SPAM-SQR容錯機制(SPAM-SQR HA),避免單點故障風險,打造更安全的郵件
環境,降低資安風險。
●114年6月完成公司多部門使用ChatGPT team 採付費版本使用,符合GDPR(General Data Protection Regulation)要求,確保資料
安全。
●114年12月完成強化主機房電力擴充和空調擴充備援以及冷熱通道,以利高耗能的AI Server 進駐。
●114年12月完成進行社交工程演練,於測試期間之工作日,向副主任級(含)以上主管、承辦業務與金流相關同仁及各單位隨機選取
2~3位員工,發送社交工程演練郵件,除藉此強化員工資安概念外,並可由演練結果了解資安措施之成效及需強化部份。
●為維護公司整體資訊安全,強化各項資訊資產之安全管理,確保其具機密性、完整性、可用性,免於因外在之威脅或人為疏失、
蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對公司造成各種可能之風險及危害,已制訂
「資訊安全政策」,供全體同仁遵循,該政策並已經董事會通過。
●本公司負責資訊安全之專責單位為資安課,該單位設置資訊安全專責主管一位,專責資安人員一位,負責訂定公司內部資訊安全
政策、規劃和執行資訊安全政策推動與落實以及資訊安全的防護。
●資訊安全的評估採用PDCA(Plan,Do,Check,Action)模式,定期進行獨立及客觀的評估,以反映資訊安全管理政策、法令、
技術及業務之最新狀況,確保資訊安全實務作業確實遵守政策,以及確保資訊安全實務作業之可行性及有效性。
實體與環境安全管理
●架構資訊系統平台所用實體伺服器等相關設備,有系統地安置於有門禁管控的電腦主機房內,只有管理者與被授權的人員允許
進入,其餘訪客須由上述人員陪同方可進入並須登錄。
●伺服器、網路設備,架構上採用備援容錯、叢集等設計,以確保系統與硬體設備的高可用性,用以儲存資料與備份的實體設備,
配合磁碟陣列、備援等設計,藉以提升資料的保護與可用度;同時電腦機房系統有接UPS 不斷電系統,避免停電造成的損害。
●採取防禦措施,部署資安防禦設備,設置阻隔不同網路的防火牆和入侵偵測防禦系統,防止外部非法使用者的蓄意破壞、攻擊
或篡改,以確保系統與資料的完整性。
資訊安全權責與教育訓練
●對處理敏感性、機密性資料之人員及因工作需要須賦予系統管理權限之人員,妥適分工,分散權責,及視需要建立人員相互
支援制度。
●定期舉辦社交工程演練,並安排教育訓練及宣導,促使員工瞭解資訊安全的重要性,各種可能的安全風險,以提高員工資訊
安全意識,促其遵守資訊安全規定。
●對離(休、停)職人員,依據人員離(休、停)職之處理程序辦理,並立即取消使用各項系統資源所有權限。
資訊安全作業管理及保護
●電腦系統需有帳號和密碼管控且密碼必需定期更新,登入網域和資訊系統授權須經正式申請流程訂定帳號密碼核發、授予各級
人員適當存取的權限及變更程序並留存記錄,使其登入網域或資訊系統時執行任務所必要之系統存取權限,防護未經授權的修改
以保護資訊的完整性。
●資料依重要與機密程度不同,做不同的分級,再套用不同的權限管理,保護資訊避免受到未被授權的存取保持資訊的機密性。
●導入多因素驗證,公司電腦均需安裝防毒軟體防護並定期更新病毒定義檔,由系統自動派送到個人電腦並設定螢幕保護程式,
以強化個人電腦作業及資料安全。
●員工遠端工作或由外連回公司時,須使用公司筆電以VPN安全連線的方式運作。
●公司重要資訊系統需每天執行系統備份和異地備份,並定期進行抽檢還原演練,以確保備份資料的可還原性。
●建立關鍵系統備援設施,以便發生災害或儲存媒體失效時,以確保關鍵性業務可持續運作,並盡快回復正常作業。
●公司電腦均需裝安控軟體,對於即時通訊、USB儲存裝置、手機裝置、光碟燒錄機、外部雲端硬碟、Webmail檔案上傳均有管控。
●機密資料集中化,機密性及敏感性的資料或文件,不存放在對外開放的資訊系統中,機密性文件不以電子郵件傳送,對於機密資料
的存取進行管理監控,全方位保護公司資產。
●公司有線/無線網路根據員工或訪客身分不同,做不同的分流管控。
●強化資安防護,勿下載、勿使用來源不明的軟體及網通設備,勿開啟有疑慮的信件附件和連結不安全網站,使用合法軟體且配合進
行必要的系統更新。
●訂定公司資訊安全事件通報處理作業原則,進行資訊安全事件通報與處理程序,以降低資訊安全事件造成之損害並加以記錄。
資通安全管理執行情形
本公司已經董事會決議成立資安專責單位(資安課)及制訂「資訊安全政策」,資安課設置資安課主管及專責資安人員各一位。
資安課主管已將資通安全管理執行情形,提報114年11月13日董事會,說明如下:
114年資通安全管理執行狀況及具體措施:
●114年 1月完成導入MDR (Managed Detective & Response)威脅偵測與應變服務。
●114年 5月完成導入EDR (Endpoint Detection and Response)端點偵測與回應。
●114年 12月完成汰換即將End Of Life 的OA虛擬Server系統平台。
●114年3月完成改版SynChem-Formosa的網站,變更主機託管機構,具較多資安保護機制。
●114年6月、10月及12月進行共x次公司重要系統災難還原演練。
●114年10月完成已建立Mail ADM 進階防禦模組及SPAM-SQR容錯機制(SPAM-SQR HA),避免單點故障風險,打造更安全的郵件
環境,降低資安風險。
●114年6月完成公司多部門使用ChatGPT team 採付費版本使用,符合GDPR(General Data Protection Regulation)要求,確保資料
安全。
●114年12月完成強化主機房電力擴充和空調擴充備援以及冷熱通道,以利高耗能的AI Server 進駐。
●114年12月完成進行社交工程演練,於測試期間之工作日,向副主任級(含)以上主管、承辦業務與金流相關同仁及各單位隨機選取
2~3位員工,發送社交工程演練郵件,除藉此強化員工資安概念外,並可由演練結果了解資安措施之成效及需強化部份。