信息安全风险管理架构
注:2022/8/5董事会通过
信息安全政策
◤恪遵资安规范
遵循相关法律,订定各项资安管理作业与办法,并定期依实际状况评估及调整。
◤强化人员资安意识
企业同仁应参与资安相关教育训练,以提高全公司资安意识。
◤避免机密资料外泄
保护企业机密信息,避免未经授权的信息被存取与窜改,并避免任何敏感资料外泄。
◤落实内部资安稽核
定期执行内部资安各项稽核措施,确保各项作业落实执行。
信息安全具体管理方案
项目
方案
资安防护
文件管理
l 建立文件管理平台及进行文件分级管理。
l 建立机密文件回收及文件销毁流程并进行追踪及管理。
l 文件及资料加密控管及有效追踪。
l 邮件外寄控管。
风险管理
l 信息机房风险评估及定期弱点扫描、核心资通系统定期执行灾难还原演练。
信息作业安全
l 强制密码设定规则、建置远近端备份/备援服务。
l 同仁必须申请VPN账号,方可由外部登入公司内网存取信息系统。
l 信息系统账号需经公司规定进行申请,同仁离职需会办信息单位,进行账号删除。
装置网络安全
l 设置设备安全防护机制、监控网络及信息存取安全。
l 依计算机类型建置端点防毒措施,强化恶意软件行为侦测。
l 强化防火墙与网络控管,防止计算机病毒跨机台及跨厂区扩散。
场域安全
l 进行入厂来宾/访客之计算机管制。
l 设立办公区域、计算机机房之门禁管制及监控异常事项。
检讨与持续改善
教育训练及倡导
l 加强员工对邮件攻击的警觉性,定期执行钓鱼邮件防御侦测。
l 定期实施信息安全教育训练,提升员工资安意识。
投入资通安全之资源
专责人力信息安全单位共三位员工,负责公司之信息安全规划、技术导入等相关事项,以维护及持续强化信息安全。
◤网络硬设备
防火墙、备份主机、机房温(湿)度侦测系统、不断电系统、机房自动灭火系统、机房设置监视器、异地备份机房。
◤软件系统
档案加密管理软件、备份管理软件、防毒软件、端点侦测与反馈软件(EDR)、垃圾邮件过滤(SPAM)。
网络存取控制系统(NAC)、安全营运中心(SOC)。
◤倡导与演练
定期资安倡导、灾难复原执行演练、权限覆核。
◤教育训练
2024年度进行一次在线信息安全教育训练及考核;并执行一次社交工程钓鱼邮件测试。
◤客户满意
无重大资安事件,亦无违反客户资料遗失之投诉案件。