管理架構
- 為提升資通安全管理,本公司指派資訊安全中心為資通安全管理權責單位,並作為公司及子公司內跨部門資通安全治理、規劃、督導及推動執行。
- 執行情形:依組織單位規劃由總經理為資通安全最高督導主管,資訊安全中心主管擔任資通安全管理代表,各事業處指派資通安全代表成員,定期召開「資安代表會議」審查資通安全發展方向及策略,使資通安全檢查制度持續穩健落實,必要時資通安全代表成員需列席與會。
- 資通安全治理報告及成果定期於董事會報告。
資安政策
- 恪遵法令訂定相關資通安全管理規章,對本公司資通資產提供適當的保護措施,以確保其機密性、完整性、可用性及法律遵循性。
- 定期評估各種人為及天然災害對本公司資通安全之影響,並訂定重要資通資產及關鍵性業務之防災對策及災變復原計畫,以確保本公司業務持續運作。
- 督導本公司同仁落實資通安全防護工作,建立「資通安全、人人有責」觀念,提升各業務部門及人員對資通安全之認知。
- 要求本公司全體同仁以及使用或連結本公司電腦系統之往來廠商,應確實遵守本公司資通安全相關規定,如有違反者,視其情形分別依本公司規定懲處或依契約罰則辦理外,情節嚴重者另將受相關法律之追訴。
管理方案
本公司針對營運類資產如企業資源規劃系統(ERP)、核心資通設備與協力廠商簽訂電子設備保險,同時透過保全監控及環境監測系統避免設備被盜或是惡意毀損情事發生。
因應資通安全所面臨的挑戰,已採取如下策略:
因應外部威脅
- 建置網路防火牆並啟用自動資通安全特徵碼,防止外部對資通設備攻擊、滲透。
- 提供外網連接用應用程式伺服器,設定於獨立內部網路區段,並指定特定人員電腦設備允連線維護。
- 委託電路服務業者啟用網路風險防堵服務,避免外部網路可能造成之損失。
公司內部管理
- 檢視相關措施之架構與維運機制是否存在單點失效之風險,及針對業務持續運作之妥適性進行風險分析,並提出資通架構安全評估之結果與建議。
- 檢視網路、資安設備及伺服器之存取紀錄、帳號權限之授予與監控機制是否符合內控作業規範;清查該等設備之帳號權限及存取紀錄,識別異常紀錄與確認警示機制。
- 檢視系統有關「密碼設定原則」與「帳號鎖定原則」之設定,透過工具分析及人工作業,檢視相關安全性原則設定是否符合內控規範。
- 公司配發電腦均需安裝端點防護程式避免被滲透之可能。
投入資源
主要透過下列面向推動及投入,以強化同仁資安危機及資安處理人員應變能力,期能事先防範。
- 資安相關人員配置︰資訊安全長、資訊安全主管及資訊部同仁2名。
- 資安相關會議︰本公司定期召開相關會議,112年度針對資安管理等議題召開會議共計2次。
- 教育訓練︰112年度訓練課程如下。
項目 課程時數 總人次 資訊人員資安管理訓練課程 71.5小時 11人