永續發展

資通安全管理

資通安全治理制度

本公司為維護資訊的機密性(Confidentiality)、完整性(Integrity)及可用性(Availability) ,並以打造持續改善的資通安全環境為目標,於2019年5月成立「資通安全執行小組」,負責記錄與檢討資通安全事件與資通安全事故,並接受稽核室年度資訊循環的督導,以建構出全方位的資安防護機制並提升同仁良好的資安意識。

2023年執行情形: 由行政副總兼任資訊主管擔任召集人,每年定期召開會議,審查通報紀錄, 檢討資通安全政策與未來發展方向,並定期向董事會報告資安治理概況,近期向董事會報告日期為2023年11月06日。

資通安全政策

為確保公司資訊、人員、資產、軟硬體之機密性、合法性、可靠性及完整性,依據公司內部實際需求,制定「資通安全政策」,提升公司資通安全風險管理。

資通安全控管措施:

  • 建立資訊資產清單,依據資安風險評鑑進行分級控管。
  • 所有新進同仁需參與資通安全教育訓練,提升員工對於資通安全的認知與觀念,並定期針對資安注意事項進行宣導作業。
  • 公司內外部網路皆設置防火牆,嚴禁同仁私架網路設備串接外部網路或公司內部網路。
  • 機密性主機設置於隔離之網路環境,資料庫及檔案存取,應設立使用權限並定期進行異地備份。
  • 定期進行資訊資產巡檢作業以及系統異常演練,維持系統可靠性。
  • 建立資安事件管理規範及資安事件通報程序。
  • 凡使用公司提供資訊或執行相關資訊業務之所有員工、往來之廠商或訪客,皆有責任與義務保護取得或使用之資訊資產,不得未經授權存取、擅改或不當揭露。
  • 個人電腦應安裝防毒軟體並即時更新病毒碼,建立軟體管理政策並禁止使用未經授權之軟體。
  • 同仁持有公司之帳號、密碼與權限應善盡保管責任,並要求定期更新密碼。
  • 公司全體同仁應遵守法律規範與公司資通安全政策之要求,主管單位應盡督導之責任,落實制度之推行,強化同仁對資通安全的認知及法令觀念。

資通安全事件管理

  • 定義
    1. 資通安全事件(Information security event):指系統、服務或網路發生違例、失效,或是未可預期的異常現象。
    2. 資通安全事故(Information security incident):指單一或一連串之資通安全事件,實際造成損害之事。
  • 資通安全事件分級
    影響等級由輕至重分「一」、「二」兩個級別,評定資安事件影響等級時,將以該事件於機密性、完整性及可用性三個面向的衝擊程度,綜評該事件影響等級,當影響等級達「二」時列為事故。
    1. 一級事件(符合下列所有情形者,屬一級事件)
      • 非核心業務資料遭洩漏。
      • 非核心業務系統或資料遭竄改。
      • 非核心業務運作遭影響或停頓。
    2. 二級事件(符合下列任一情形者,屬二級事件)
      • 核心業務資料遭洩漏。
      • 核心業務系統或資料遭竄改。
      • 核心業務運作遭影響或停頓。
  • 資通事件通報
    創見資訊同仁發現或觀察到異常事件,應向資訊單位管理人員通報進行事件處理並追蹤處理情形。
    1. 立即記錄所有重要細節,例如:故障發生情形、顯示訊息、異常現象等。
    2. 不自己執行任何動作,並立即通報資訊單位。
    3. 在任何情況下都不要嘗試去證明可疑的弱點。
  • 資通事件處置
    1. 若通報事件由資訊人員依實際影響情形判定級別,應填寫「資通安全通報單」紀錄存查。
    2. 資通安全事件處理過程中,如發現事件造成影響大於原先判定等級,應立即更正事件分級;資通安全事件需進行以下作業:
      • 一級事件須於發現資安事件12小時內復原或完成損害管制,二級事件須於發現資安事件24小時內復原或完成損害管制。
      • 資通安全事件危及人員生命或設備遭到破壞等,涉及民、刑事案件時,應由資訊單位通報檢調單位請求處理。
  • 資通安全事件處理過程中,如發現事件造成影響大於原先判定等級,應立即更正事件分級;資通安全事件需進行以下作業:
  • 處理資安事故時,由資訊單位權責主管負責協調相關單位提供必要資源。

資通安全具體管理方案

  • 應辨識資安事件根本原因並採取有效對策,依據資安事故分類,研擬改善未來事故處理的方法與程序。
  • 資通安全執行小組每年依稽核室內部稽核資訊循環要求,提交資安事故統計資訊,以利資通安全管理制度之持續改善。
  • 重要資通安全事件處理結果應定期彙整,並在無牽涉個人隱私與業務機密之情況下,可於月報或內部網站公告,描述事件發生原因、過程、處理方式、改善與注意事項建議等,做為資安宣導及資安事件預防之參考資訊。
  • 考量資安險為新興險種,目前公司仍在評估階段。後續公司將持續完善資通安全系統管理,並且定期進行資安評估,透過反覆演練與不斷檢討改進,強化公司同仁資安危機意識及資安處理人員應變能力,預防資安事件的發生。

投入資通安全管理之資源

  • 端點軟硬體設備如防火牆、電腦防毒、郵件防毒、垃圾郵件過濾、網管型網路設備等。
  • 軟體系統如異地備份軟體、VPN連線認證等。
  • 電信服務如多重線路、入侵防護服務、分公司點對點VPN信任等。
  • 投入人力如: 每日各系統狀態檢查、設備異常發信通知、每周定期備份、每年至少一次資安宣導教育課程、每年系統災難復原執行演練、每年對資訊循環之內部稽核、會計師稽核等。
  • 資安人力: 資安主管一名及資安人員兩名,負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂,資安主管每年向董事會至少報告一次。

您已經同意cookies的設置,但可以隨時撤回您的同意。若您想進一步了解本網站所使用的cookies,請參閱Cookies聲明修改設定

您已經拒絕cookies的設置,但可以隨時再表示同意。若您想進一步了解本網站所使用的cookies,請參閱Cookies聲明修改設定