123

投資人專區

資訊安全風險管理

組織架構

為強化本公司之資訊安全管理、確保資料、系統及網路安全,個人資料保護,設立資訊安全暨個人資料保護推動委員會(IMS)。委員會組織包含公司資訊安全長負責監督管理;IMS安全委員由公司高階管理者進行相關議題之審查與諮詢建議;IMS推動小組負責規劃、執行資安及個資管理保護作業; IMS稽核小組協助資安及個資管理保護的稽核工作,包含內部稽核與外部稽核。

資訊安全管理政策

為了使本公司ISMS(資訊安全管理系統)能貫徹執行、有效運作、監督管理、持續進行,維護本公司重要資訊系統的機密性完整性可用性,特頒布資通安全管理政策。

本政策為高階指導原則,所有同仁、委外廠商皆有義務積極參與推動資通安全管理政策,以確保所有資訊系統安全維運,並期許所有人均能了解、實施與維持,以達資訊持續營運配合本所業務遂行的目標。

「落實資通安全,強化資通服務品質」;

「加強資安訓練,符合法令要求規範」;

「規劃持續營運,迅速完成災害復原」;

「合理利用個資、防範個人資料外洩」。

~落實資通安全,強化資通服務品質

貫徹執行ISMS,所有資訊作業相關措施,應確保資料之機密性、完整性及可用性,免於因相關資訊安全威脅遭受洩密、破壞或遺失等風險,選擇適切的保護措施,將風險降至可接受程度進行監控、審查及稽核資訊安全管理制度的工作,以完善的資通安全強化服務品質,提升服務水準。

~加強資安訓練,符合法令要求規範

加強資安訓練,督導全體同仁落實資通安全管理,持續進行適當的資通安全教育訓練,建立「資通安全,人人有責」的觀念,促使同仁瞭解資通安全相關法令要求之重要性,進而遵守法令及規定,藉此提高資通安全認知及能力,降低資通安全風險,達成資通安全管理法及個人資料保護法等相關法令要求事項。

~規劃持續營運,迅速完成災害復原

訂定關鍵性業務核心資通系統之緊急應變計畫及災害復原計畫,每項核心資通系統每兩年必須至少執行一次緊急應變流程演練,以確保資通系統失效或重大災害事件發生時,能迅速復原,保持關鍵性核心資通系統持續運作,達成本公司主要業務順利執行。

~合理利用個資、防範個人資料外洩

對個人資料進行分類和評估,以確定保護的需求和措施。建立存取控制機制,於個資傳輸及共享方面採用加密與安全措施,定期評估受託者的遵守能力,並與委外廠商簽訂合約和協議以確保個資安全。強化員工教育訓練,增強個資保護意識。建立監控和審查機制,持續監視個資的使用、存取和傳輸,並及時檢測和應對異常活動或安全事件。確保不再需要時,個資能夠被安全且永久地刪除。

資安風險因應對策

  1. 強化資安防禦能力
    • ✓ 建置企業等級的網路防火牆(Firewall)提供入侵偵測防護(IPS)機制,並區隔內網及DMZ區,只開放必須的網路服務功能與通訊協定,確保已授權的使用者,僅能在授權範圍內存取網路資源。
    • ✓ 所有伺服器及個人電腦一律安裝防毒軟體,並導入MDR服務以提升主機及使用者的端點安全。
    • ✓ 實施多因素驗證(MFA)、密碼強度要求及定期變更機制,防範未經授權的存取行為。
    • ✓ 定期進行系統資安檢測(源碼、黑箱、白箱、系統),並進行重大漏洞修補。
    • ✓ 持續進行營運持續應變演練,確保安全與業務的持續運作,降低事件所造成的損失。
    • ✓ 建立資訊安全事件通報及應變管理程序,以迅速有效獲知並處理事件,將安全及失效事件所造成的損害降到最低,並採取必要之應變措施,降低事件可能帶來之衝擊與損害。
  2. 精進資安管理程序
    • ✓ 導入符合資訊安全及個人資料保護相關IS0 27001、ISO 27701等國際認證標準。
    • ✓ 專人負責IS0 27001及ISO 27701制度的管理與維護,並每年進行稽核及驗證,以不斷地進行持續改善。
  3. 風險控制
    • ✓ 持續導入資安產品及工具以強化公司面對資安威脅的處理能力,保護公司於發生網路攻擊時,能將潛在損失降至最小的範圍。
    • ✓ 透過資通安全風險管理程序,識別資訊安全威脅,並制定風險降低措施,確保資訊系統免受攻擊與意外損害。
  4. 教育訓練
    • ✓ 進行全公司同仁資安教育訓練,以提升同仁資安意識並強化公司資安落實度。
    • ✓ 進行社交工程演練,強化同仁對於釣魚攻擊郵件之警覺性。