为强化资通安全之风险管理,成立资安专责单位、建置资通安全风险管理架构、订定资通安全政策及具体管理方案及投入资通安全管理之资源等,并定期检讨资通安全政策,以确保资通安全。
资通安全风险管理架构
- 资安专责单位定期检讨资通安全管理政策及相关办法。
- 各单位成员皆依相关办法确实执行。
- 日常营运时定期进行服务器等设备之检核,以即时发现问题。
- 进行资通安全风险评估,配合稽核单位查核以确保作业之正确性及有效性。
- 遇有错误、漏洞与风险立即进行改善,以建构资通安全之持续改善管理循环。
- 资安专责单位每年至少一次向集团总经理报告资通安全执行情形。
资通安全政策
一、目的
为强化资通安全之风险管理,确保资料、系统、设备及网路安全,特订定本政策。
二、资通安全目标
确保本公司资通作业之正确性、可用性、完整性与机密性。避免内、外部资安事件之威胁。于事故发生时,亦能迅速应变,在最短时间内回复正常运作,降低事故带来的损害。
三、资通安全管理措施
- 成立资安专责单位,订定资通安全政策及具体管理方案,以确保资通安全。
- 应依据个人资料保护法审慎处理个人资讯。
- 个人电脑、服务器皆需设定密码,安装防毒软体,并不定期更新病毒码。
- 應遵守智慧財產權相關規定,私人電腦設備亦應加以管理,確保安裝軟體皆有合法授權。
- 重要资料应进行备份,并定期确认备份资料有效性。
- 規劃災害復原計畫,以利資安事件發生時快速恢復系統運作。
- 不定期执行资通安全宣导作业,强化同仁资安认知及法令观念。
四、审查及修订
本政策由集团总经理核准后实施,修正时亦同。
资通安全具体管理方案
本公司考量资安险仍是新兴险种,本公司目前之资安风险管理方案内容已能有效防护资通安全,因此经资安专责单位评估后,暂不购买资安险。
本公司之资通安全具体管理方案,由资通安全事件发生时间点区分,可分为事前预防、日常营运维持、资安事件处理。具体管理方案内容如下:
类别
说明
内容
情资收集与资安联防
加入TWCERT/CC联盟
- 不定期收集TWCERT资安情资。
- 依据资安通报进行漏洞修补。
- 由资安专责人员参加TWCERT课程以提升资安防护能力。
预防外部入侵
安装防火墙与防毒软体
- 设置网路防火墙。
- 服务器与电脑主机安装防毒软体。
- 防毒软体病毒码自动更新。
- 每周执行防毒软体电脑扫描。
预防资料外泄
帐号、权限管理
- 人员帐号审核及管理。
- 定期进行系统权限设定检核。
日常营运维持
资料备份与相关检核
- 依资料性质进行资料备份、异质备份与异地存放。
- 定期进行资料还原测试。
- 每日执行服务器主机检核暨系统测试。
- 定期电脑检核。
资安事件处理
订定相关作业程序与复原计划
- 订定资安事件应变处置及通报作业程序。
- 订定灾害复原计画。
- 若无事件发生时定期模拟演练。
- 事后撰写灾害复原计画执行报告进行检讨改善。
2023年投入资通安全管理之资源
- 设置资安专责单位。
- 制定「资安事件应变处置及通报作业程序」。
- 办理资通系统盘点及风险评估。
- 针对核心资通系统进行渗透测试。
- 办理社交工程演练。
- 完成「营运系统权限设定定期检核」。
- 完成「电脑检核」。
- 完成「灾害复原演练」。
- 资安单位外部受训时数:27.5小时。
- 进行9次资安宣导。
2023年重大资通安全事件
2023年并无违反资通安全、造成客户资讯泄漏及罚款等重大资安事件发生。亦无因违反客户个人资料保护或客户资料遗失而向公司投诉导致司法行动之投诉案件。
资通安全风险评估
本公司依照订定之「资讯安全管理办法」推动各项资通安全政策及执行各项资通安全作业,督导同仁遵循资安规范,进行资安风险评估,检视作业缺失及持续流程改善,以确保公司资通安全。且每年定期进行内部控制制度有效性评估与资讯作业查核,以确保其有效性。截至目前评估结果,无重大资安风险。
为强化资通安全之风险管理,成立资安专责单位、建置资通安全风险管理架构、订定资通安全政策及具体管理方案及投入资通安全管理之资源等,并定期检讨资通安全政策,以确保资通安全。
资通安全风险管理架构
- 资安专责单位定期检讨资通安全管理政策及相关办法。
- 各单位成员皆依相关办法确实执行。
- 日常营运时定期进行服务器等设备之检核,以即时发现问题。
- 进行资通安全风险评估,配合稽核单位查核以确保作业之正确性及有效性。
- 遇有错误、漏洞与风险立即进行改善,以建构资通安全之持续改善管理循环。
- 资安专责单位每年至少一次向集团总经理报告资通安全执行情形。
资通安全风险管理架构
一、目的
为强化资通安全之风险管理,确保资料、系统、设备及网路安全,特订定本政策。
二、资通安全目标
确保本公司资通作业之正确性、可用性、完整性与机密性。避免内、外部资安事件之威胁。于事故发生时,亦能迅速应变,在最短时间内回复正常运作,降低事故带来的损害。
三、资通安全管理措施
- 成立资安专责单位,订定资通安全政策及具体管理方案,以确保资通安全
- 应依据个人资料保护法审慎处理个人资讯。
- 个人电脑、服务器皆需设定密码,安装防毒软体,并不定期更新病毒码。
- 应遵守智慧财产权相关规定,私人电脑设备亦应加以管理,确保安装软体皆有合法授权。
- 重要资料应进行备份,并定期确认备份资料有效性。
- 规划灾害复原计画,以利资安事件发生时快速恢复系统运作。
- 不定期执行资通安全宣导作业,强化同仁资安认知及法令观念。
四、审查及修订
本政策由集团总经理核准后实施,修正时亦同。
资通安全具体管理方案
本公司考量资安险仍是新兴险种,本公司目前之资安风险管理方案内容已能有效防护资通安全,因此经资安专责单位评估后,暂不购买资安险。
本公司之资通安全具体管理方案,由资通安全事件发生时间点区分,可分为事前预防、日常营运维持、资安事件处理。具体管理方案内容如下:
类别
情资收集与资安联防
说明
加入TWCERT/CC联盟
内容
- 不定期收集TWCERT资安情资。
- 依据资安通报进行漏洞修补。
- 由资安专责人员参加TWCERT课程以提升资安防护能力。
类别
预防外部入侵
说明
安装防火墙与防毒软体
内容
- 设置网路防火墙。
- 服务器与电脑主机安装防毒软体。
- 防毒软体病毒码自动更新。
- 每周执行防毒软体电脑扫描。
类别
预防资料外泄
说明
帐号、权限管理
内容
- 人员帐号审核及管理。
- 定期进行系统权限设定检核。
类别
日常营运维持
说明
资料备份与相关检核
内容
- 依资料性质进行资料备份、异质备份与异地存放。
- 定期进行资料还原测试。
- 每日执行服务器主机检核暨系统测试。
- 定期电脑检核。
类别
资安事件处理
说明
订定相关作业程序与复原计划
内容
- 订定资安事件应变处置及通报作业程序
- 订定灾害复原计画。
- 若无事件发生时定期模拟演练。
- 事后撰写灾害复原计画执行报告进行检讨改善。
2022年投入资通安全管理之资源
- 设置资安专责单位。
- 制定「资安事件应变处置及通报作业程序」。
- 办理资通系统盘点及风险评估。
- 针对核心资通系统进行渗透测试。
- 办理社交工程演练。
- 完成「营运系统权限设定定期检核」。
- 完成「电脑检核」。
- 完成「灾害复原演练」。
- 资安单位外部受训时数:27.5小时。
- 进行9次资安宣导。
2022年重大资通安全事件
2022年并无违反资通安全、造成客户资讯泄漏及罚款等重大资安事件发生。亦无因违反客户个人资料保护或客户资料遗失而向公司投诉导致司法行动之投诉案件。
资通安全风险评估
本公司依照订定之「资讯安全管理办法」推动各项资通安全政策及执行各项资通安全作业,督导同仁遵循资安规范,进行资安风险评估,检视作业缺失及持续流程改善,以确保公司资通安全。且每年定期进行内部控制制度有效性评估与资讯作业查核,以确保其有效性。截至目前评估结果,无重大资安风险。