资安风险评估分析及其因应措施
本公司对资讯安全秉持不可松懈的态度,由资讯部门建立严密的资安流程机制。为提升资讯安全管理,2020年11月成立资讯安全管理小组,负责监督资安管理运作情形,并定期向稽核单位报告。亦依据相关法令规定及公司营运需求,订定「资讯安全管理办法」,以兹全体员工遵循。
资讯安全政策
本公司资讯安全管理机制主要包含科技运用、资料保密、人员训练及法令规范。
- 科技运用:适时办理网路设备、伺服器及终端机之弱点扫描,并进行修补作业,落实资安管理措施。
- 资料保密:公司有导入文件密机制,利用文件权限分级,杜绝机敏资料轻易外泄之疑虑。
- 人员训练:新近人员皆须参加资讯安全教育训练,建立「资讯安全,人人有责」之观念。资安小组亦会不定期发送内部教育信件给全体同仁,并根据最新资安情势宣导资安注意事项,提升并加强人员对资安的认知。
- 法令规范:本公司订定多项相关资安规范与制度,以规范本公司人员资讯安全行为,并对本公司资讯资产提供适当的保护措施。
评估资安风险对企业经营不利之影响程度,规划资讯安全检查之控制:
- 资讯系统服务移转至云端机房运行。
- 安装防毒软体。
- 设置网路防火墙。
- 电子邮件管理控制。
- 档案及设备之安全控制。
本公司已将资讯安全检查作业列为年度稽核项目,稽核单位每年度至少进行一次稽核。最近年度截至年报刊印日止,未发生影响公司营运之重大资安事件。本公司已于114年2月27日向董事会报告资通安全执行情形。
因应措施:
- 设有专门人员负责处理有关资讯系统安全预防及危机处理相关事宜,以防范电脑网路犯罪与危机,维护系统安全。
- 教育员工正确使用合法软体之概念,促使员工正确认知电脑病毒的威胁,进一步提升员工的资讯安全警觉。
114年资通安全执行情形报告:
| 项目 | 内容 | 执行情形 |
|---|
资通安全政策及目标订定 | 资通安全政策订定及核定 | 本政策由总经理核准,经董事会通过,订定于111年7月29日。 |
| 资通安全目标之订定 | 已于「资通安全政策」中订定。 |
| 资通安全政策及目标宣导 | 于114年8月20日办理资通安全政策及目标宣导。 |
| 资通安全政策及目标定期检视 | 每季办理资通安全政策及目标定期检视,本季已于115年1月5日办理完成。 |
专责人力配置 | 专责人力配置 | 本公司目前设置「资讯安全主管」及「资讯安全人员」。 |
资通安全教育训练 | 员工应遵守之相关规定 | (1) 电脑资料及设备,不得任意破坏、携出、外借、不正当修改,维护资料完整性。 (2) 禁止使用无版权软体。 (3) 进入主机后,若作业结束或长时间不使用机器时,应退出机器,以免资料机密外泄,为别人所破坏或造成当机之困扰。 (4) 离职或新旧职务交接时,由资讯单位衡量资料相关性作适当处置。 (5) 电脑设备无法正常作业时,使用者应立即通知资讯单位,以便检查或维修。 |
| 资通安全教育训练要求 | 新进人员皆须签定资讯保密协定及接受资通安全教育训练。 |
| 办理资通安全教育训练 | 每年不定期执行邮件社交工程演练。 已于114年12月5日办理资通安全教育训练。 |
| 资通安全及资讯人员 | (1)于114年3月26日参加【企业资安防护强度检测】共3小时。 (2)于114年4月24日参加【恶意程式网路封包分析技巧实务】课程共计5小时。 (3)于114年9月24日参加【渗透测试】课程共计6小时。 (4)于115年1月参加金研院资通安全影音课程共计6小时。 |
内外部稽核 | 内部稽核 | 本公司稽核室为资讯安全监理之查核单位,已依规定就相关内部控制程序进行内部稽核,以降低内部资安风险。 |
| 外部稽核 | 已于114年12月15日至12月19日委由外部单位:资诚电脑审计,对公司资讯安全做全面检查,以确保资安的完整性。 |
资讯安全具体管理方案 【资通安全防护(启用,并持续使用及适时进行软、硬体之必要更新或升级)】 【资通安全健诊】 | 防毒软体 | 公司电脑统一安装防毒软体,定期确认病毒码之更新,及时检测网站与软体安全性。 |
| 邮件安全管控 | (1)邮件安全防护系统,包含垃圾邮件过滤功能、恶意邮件侦测功能、邮件外寄稽核等管理功能,提升整体邮件资讯安全。 |
| (2)个人电脑接收邮件后,防毒软体会扫描是否为安全邮件。 |
| 防火墙 | (1)透过防火墙网路政策限制上网行为,管控公司对外网路,禁止员工连结非工作相关之云端储存空间、社群网站、即时通讯等外部服务。 |
| (2)如有特殊连线需求,需额外申请开放,如:VPN服务。 |
| 系统存取控制 | (1)采最小权限原则管理内部系统与资料之存取权限,人员无法使用非经授权之系统功能,亦无法检视非职务所需之系统资料。 |
| (2)需要透过管理者帐号才能安装软体,以确保公司软体授权合规性,降低感染病毒、后门程式之风险。 |
| (3)使用者通行密码应符合安全原则,密码需符合长度及复杂度之原则,并要求使用者定期更改系统密码。 |
| 文件加密系统 | (1)须通过稽核流程解密后才可外寄或列印,限制文件外泄后档案存取。 |
| (2)公司随身碟资料管控,员工仅能使用公司资产及注册之随身碟,无法使用个人储存装置,,保障公司机密资料安全。 |
| 资料备份 | 资讯系统依重要程度建立相应之备份备援机制、异地备援措施,每年定期执行灾害复原演练,确保备援机制运作正常。 |