資通安全人員
總經理室設置資通安全管理課,包含資通主管及人員各一名。
資通安全政策
- 政策目的
為維護本公司資訊系統環境運作順暢,應強化現有資通安全規範,確保資訊設備及核心資料具安全性、完整性、保密性以落實資訊系統使用管理,及維護資訊系統資源有效運用,以達整體資訊應用相關業務順利進行,防止本公司之相關資訊系統及核心業務資料遭不當使用、破壞、竄改、洩漏等情事,並確保與資訊系統連線及其業務資料的安全,訂定此政策以達企業永續經營為核心宗旨。
- 適用範圍
本政策涵蓋公司之資通系統、資通服務、核心業務及核心資通系統,適用人員包括公司內部全體同仁、提供資通服務及資通系統之外部協力廠商與訪客等。
- 政策執行項目
資通安全政策應符合並遵循公司管理辨法內容,依上市上櫃公司資通安全管控指引為主要範本,參照國際資訊安全標準ISO27001相關規範修訂,進行整合強化資通安全應用細則,並以目標管理循環機制,計劃、執行、核實、行動(Plan-Do-Check-Act,PDCA)檢視執行,政策管理規範如下:
- 人員帳號權限管理
- 建立新進、離職、調職、退休等人員帳號管理制度,依系統權限變更調整,經授權後執行。
- 建立系統帳號權限保護層級制度,規範系統特定權限帳號分級,對於系統作業層級限制作業方式。
- 制定人員資訊系統對應管理制度,確保員工依職務別、業務性質等權限不同進行管制,並定期檢核。
- 核心業務安全管控
- 匡列影響公司營運主要資訊系統、營業等相關機敏資料,明確劃分規範層級,並以保護系統安全為最高準則。
- 建立機敏資料回報制度,定期每年盤點回報,以鑑別定義其保護層級,及其可能遭遇之資安風險,規範其防護重點。
- 明確制訂影響營運的資訊系統回復時間目標及資料復原時間目標,並定期執行資安防護措施檢測作業,經檢測結果為中高度風險者,應以最短時間完成修補及持續追蹤管理。
- 資通安全設備規範
- 建立資通安全設備管理層級制度,依資通設備管理權限範圍執行管理分級,規範區分端點防護等級進行管理,以確保企業資通設備運作安全。
- 建立資通設備系統防護等級規範,核心業務系統區段設備需區隔並應加以管控,以嚴密的分層架構過濾機制防範惡意或不法的行為,以應付資通安全風險威脅,提升整體資安防禦能力,更應全力積極導入各項資訊系統自動化偵測與監控設備系統,使防護更加完善。
- 資安危害防護管理
- 應定期檢視資安防護基礎建設之軟硬體運作狀況,以維持資訊系統安全正常運作防護及降低未知之資通危害。
- 應每年就資通安全事宜召開會議討論,就資通安全風險進行評鑑與管理,藉以掌握公司內部資通安全狀態。
- 建立資訊系統或資通服務委外辦理之管理制度,且須詳細評估委外廠商之資安執行防護作業狀況,並要求其簽訂保密協定。
- 教育員工正確使用資安防護概念,促使員工正確認知資安危害所帶來的威脅,進一步提昇員工的資訊安全警覺。
- 定期檢視資安防護系統提供之訊息報表,及系統服務供應商提供之防護報表,檢視防範可能的資通危害情事。
- 限定機敏性資料等營業文件以任何電子形式方式進行傳輸時,皆應有授權機制並以加密或遮罩方式執行,解密方式應以不同途徑得知。
- 資料存取安全管制
- 建立資訊系統存取及授權規範,並知會授權人員相關權責事項。
- 建立機敏資料檢核機制,定期以資安核查方式檢視防護情形,以紀錄留存。
- 建立資訊系統帳號管理制度,強化員工帳號密碼管理,帳號密碼複雜程度及更新頻率以不得低於三個月為限。
- 外部資訊系統協力廠商,以遠端方式進行資訊系統維護時,應進行來源及資訊服務的管控,並建立限定清單及相關安全保密責任。
- 建立資訊系統資訊管理人員權限管理系統,依資訊系統規範資訊作業人員必要合適之權限,並定期檢核。
- 建立資訊系統程式開發版本控制準則,以避免因系統程式問題造成資訊系統的中斷,以強化資訊系統核心的安全。
- 資通安全訓練宣導
- 規範資訊人員需定期接受資訊安全相關訓練,吸收新知用以防範未知的資安危害及應用在現行的資訊系統作業中,讓資訊系統安全運作使用,資通安全的範圍更為廣泛。
- 規範資通安全教育訓練每年至少實施乙次,資訊安全專責人員及專責主管每年應定期參加五小時以上資訊安全專業課程訓練或職能訓練並通過評量,每年應至少接受三小時以上資訊安全宣導課程,以強化同仁資安意識的觀念。
- 藉由定期資安防護相關資訊的宣導,時時提醒以提昇同仁資安相關知識。
- 資安預警情資收集
資安危害已無地域、時間、空間之差別,唯有零時差的即時防護,方能阻斷零時差的攻擊,相關即時的防護,需有即時危害情資訊息傳遞分享,積極加入由政府及各企業間合規所組織而成的資安防護聯盟才可於第一時間得到情資訊息立即保護防禦。
- 資安合規技術精進
公司資通安全政策應反映符合主管機關所布達最新資通安全管理法各項規範,且每年定期檢視,若有法規條文的新增修訂,公司應以最短時間調整修訂並公佈施行,以精進強化資通安全實務作業完整之有效性。
- 目標
以完善維護股東權益為最大核心,保護核心資訊資產安全及維持核心業務持續運作,保護企業資訊核心價值,以穩健周全資安防護觀念,建構完整資通安全環境,定期督導稽核、持續強化資安方面觀念,以達企業永續發展為主要目標。
113年度資安措施執行情形(113年12月26日董事會報告)
項 目 | 執行(開會)時間 | 執行情況 | 後續處理 |
資安認證ISO 27001 | 113年度 | 已取得證書 | |
資通安全政策 | 113.08 | 已制定 | 制定執行 |
資通安全教育訓練 | 113.08 | 執行完成 | 每年度執行 |
弱點掃瞄 | 113.12 | 執行中預計12月底完成 | 每年度執行 |
社交工程演練 | 113.12 | 執行中預計12月底完成 | 持續宣導 |
滲透測試 | 113.12 | 執行中預計12月底完成 | 每年度執行 |