為強化資通安全之風險管理,成立資安專責單位、建置資通安全風險管理架構、訂定資通安全政策及具體管理方案及投入資通安全管理之資源等,並定期檢討資通安全政策,以確保資通安全。
資通安全風險管理架構
- 資安專責單位定期檢討資通安全管理政策及相關辦法。
- 各單位成員皆依相關辦法確實執行。
- 日常營運時定期進行伺服器等設備之檢核,以即時發現問題。
- 進行資通安全風險評估,配合稽核單位查核以確保作業之正確性及有效性。
- 遇有錯誤、漏洞與風險立即進行改善,以建構資通安全之持續改善管理循環。
- 資安專責單位每年至少一次向集團總經理報告資通安全執行情形。
資通安全政策
為強化資通安全之風險管理,確保資料、系統、設備及網路安全,特訂定本政策。
二、資通安全目標
確保本公司資通作業之正確性、可用性、完整性與機密性。避免內、外部資安事件之威脅。於事故發生時,亦能迅速應變,在最短時間內回復正常運作,降低事故帶來的損害。
三、資通安全管理措施
- 成立資安專責單位,訂定資通安全政策及具體管理方案,以確保資通安全。
- 應依據個人資料保護法審慎處理個人資訊。
- 個人電腦、伺服器皆需設定密碼,安裝防毒軟體,並不定期更新病毒碼。
- 應遵守智慧財產權相關規定,私人電腦設備亦應加以管理,確保安裝軟體皆有合法授權。
- 重要資料應進行備份,並定期確認備份資料有效性。
- 規劃災害復原計畫,以利資安事件發生時快速恢復系統運作。
- 不定期執行資通安全宣導作業,強化同仁資安認知及法令觀念。
四、審查及修訂
本政策由集團總經理核准後實施,修正時亦同。
資通安全具體管理方案
本公司考量資安險仍是新興險種,本公司目前之資安風險管理方案內容已能有效防護資通安全,因此經資安專責單位評估後,暫不購買資安險。
本公司之資通安全具體管理方案,由資通安全事件發生時間點區分,可分為事前預防、日常營運維持、資安事件處理。具體管理方案內容如下:
類別
說明
內容
情資收集與資安聯防
加入TWCERT/CC聯盟
- 不定期收集TWCERT資安情資。
- 依據資安通報進行漏洞修補。
- 由資安專責人員參加TWCERT課程以提升資安防護能力。
預防外部入侵
安裝防火牆與防毒軟體
- 設置網路防火牆。
- 伺服器與電腦主機安裝防毒軟體。
- 防毒軟體病毒碼自動更新。
- 每週執行防毒軟體電腦掃描。
預防資料外洩
帳號、權限管理
- 人員帳號審核及管理。
- 定期進行系統權限設定檢核。
日常營運維持
資料備份與相關檢核
- 依資料性質進行資料備份、異質備份與異地存放。
- 定期進行資料還原測試。
- 每日執行伺服器主機檢核暨系統測試。
- 定期電腦檢核。
資安事件處理
訂定相關作業程序與復原計畫
- 訂定資安事件應變處置及通報作業程序。
- 訂定災害復原計畫。
- 若無事件發生時定期模擬演練。
- 事後撰寫災害復原計畫執行報告進行檢討改善。
112年投入資通安全管理之資源
- 設置資安專責單位。
- 制定「資安事件應變處置及通報作業程序」。
- 辦理資通系統盤點及風險評估。
- 針對核心資通系統進行滲透測試。
- 辦理社交工程演練。
- 完成「營運系統權限設定定期檢核」。
- 完成「電腦檢核」。
- 完成「災害復原演練」。
- 資安單位外部受訓時數:27.5小時。
- 進行9次資安宣導。
112年重大資通安全事件
112年並無違反資通安全、造成客戶資訊洩漏及罰款等重大資安事件發生。亦無因違反客戶個人資料保護或客戶資料遺失而向公司投訴導致司法行動之投訴案件。
資通安全風險評估
本公司依照訂定之「資訊安全管理辦法」推動各項資通安全政策及執行各項資通安全作業,督導同仁遵循資安規範,進行資安風險評估,檢視作業缺失及持續流程改善,以確保公司資通安全。且每年定期進行內部控制制度有效性評估與資訊作業查核,以確保其有效性。截至目前評估結果,無重大資安風險。
為強化資通安全之風險管理,成立資安專責單位、建置資通安全風險管理架構、訂定資通安全政策及具體管理方案及投入資通安全管理之資源等,並定期檢討資通安全政策,以確保資通安全。
資通安全風險管理架構
- 資安專責單位定期檢討資通安全管理政策及相關辦法。
- 各單位成員皆依相關辦法確實執行。
- 日常營運時定期進行伺服器等設備之檢核,以即時發現問題。
- 進行資通安全風險評估,配合稽核單位查核以確保作業之正確性及有效性。
- 遇有錯誤、漏洞與風險立即進行改善,以建構資通安全之持續改善管理循環。
- 資安專責單位每年至少一次向集團總經理報告資通安全執行情形。
資通安全政策
一、目的
為強化資通安全之風險管理,確保資料、系統、設備及網路安全,特訂定本政策。
二、資通安全目標
確保本公司資通作業之正確性、可用性、完整性與機密性。避免內、外部資安事件之威脅。於事故發生時,亦能迅速應變,在最短時間內回復正常運作,降低事故帶來的損害。
三、資通安全管理措施
- 成立資安專責單位,訂定資通安全政策及具體管理方案,以確保資通安全
- 應依據個人資料保護法審慎處理個人資訊。
- 個人電腦、伺服器皆需設定密碼,安裝防毒軟體,並不定期更新病毒碼。
- 應遵守智慧財產權相關規定,私人電腦設備亦應加以管理,確保安裝軟體皆有合法授權。
- 重要資料應進行備份,並定期確認備份資料有效性。
- 規劃災害復原計畫,以利資安事件發生時快速恢復系統運作。
- 不定期執行資通安全宣導作業,強化同仁資安認知及法令觀念。
四、審查及修訂
本政策由集團總經理核准後實施,修正時亦同。
資通安全具體管理方案
本公司考量資安險仍是新興險種,本公司目前之資安風險管理方案內容已能有效防護資通安全,因此經資安專責單位評估後,暫不購買資安險。
本公司之資通安全具體管理方案,由資通安全事件發生時間點區分,可分為事前預防、日常營運維持、資安事件處理。具體管理方案內容如下:
類別
情資收集與資安聯防
說明
加入TWCERT/CC聯盟
內容
- 不定期收集TWCERT資安情資。
- 依據資安通報進行漏洞修補。
- 由資安專責人員參加TWCERT課程以提升資安防護能力。
類別
預防外部入侵
說明
安裝防火牆與防毒軟體
內容
- 設置網路防火牆。
- 伺服器與電腦主機安裝防毒軟體。
- 防毒軟體病毒碼自動更新。
- 每週執行防毒軟體電腦掃描。
類別
預防資料外洩
說明
帳號、權限管理
內容
- 人員帳號審核及管理。
- 定期進行系統權限設定檢核。
類別
日常營運維持
說明
資料備份與相關檢核
內容
- 依資料性質進行資料備份、異質備份與異地存放。
- 定期進行資料還原測試。
- 每日執行伺服器主機檢核暨系統測試。
- 定期電腦檢核。
類別
資安事件處理
說明
訂定相關作業程序與復原計畫
內容
- 訂定資安事件應變處置及通報作業程序。
- 訂定災害復原計畫。
- 若無事件發生時定期模擬演練。
- 事後撰寫災害復原計畫執行報告進行檢討改善。
112年投入資通安全管理之資源
- 設置資安專責單位。
- 制定「資安事件應變處置及通報作業程序」。
- 辦理資通系統盤點及風險評估。
- 針對核心資通系統進行滲透測試。
- 辦理社交工程演練。
- 完成「營運系統權限設定定期檢核」。
- 完成「電腦檢核」。
- 完成「災害復原演練」。
- 資安單位外部受訓時數:27.5小時。
- 進行9次資安宣導。
112年重大資通安全事件
112年並無違反資通安全、造成客戶資訊洩漏及罰款等重大資安事件發生。亦無因違反客戶個人資料保護或客戶資料遺失而向公司投訴導致司法行動之投訴案件。
資通安全風險評估
本公司依照訂定之「資訊安全管理辦法」推動各項資通安全政策及執行各項資通安全作業,督導同仁遵循資安規範,進行資安風險評估,檢視作業缺失及持續流程改善,以確保公司資通安全。且每年定期進行內部控制制度有效性評估與資訊作業查核,以確保其有效性。截至目前評估結果,無重大資安風險。