資訊安全管理架構
本公司於107年成立「資訊安全管理委員會」,負責資安管理之審查、安全風險評量、資訊系統分級與防護,以及營運持續運作與演練。
資訊安全管理委員會由總經理擔任主任委員,並由資訊處副總經理擔任管理代表,公司各單位(包含資訊、法務、稽核、人力資源、廠務、文管中心、財會等)均指派代表擔任委員。
資訊安全管理委員會透過年度的管理審查會議,審核資安風險分析結果並採取對應之防護措施與管理方策,以確保資訊安全管理體系持續運作之適用性、適切性及有效性。
資訊安全管理政策
「強化資安管理,確保資料安全,打造穩定高效的資訊服務。」
本公司的資訊安全管理政策涵蓋本公司及海內外子公司,並將管理程序及安全防護技術應用於各項資訊作業,包含作業執行時所使用之各項資訊系統軟、硬體設備、存放各種資訊及資料之檔案媒體,以確保資訊蒐集、處理、傳送、儲存及流通之安全。本公司致力於強化資通訊安全管理,確保客戶與公司資料在處理過程中的機密性、完整性、可用性與安全性,全面提升資料保護水準,提供安全、穩定且高效的資訊服務。
具體管理方案
- 定期檢視與更新資安風險管控措施:定期全面檢視資安風險評估流程,並每季執行資安檢查,包含弱點掃描、軟體總檢、防火牆與防毒系統告警監控、資安異常事件處理、資安情資收集與應對和社交郵件模擬訓練等。另持續追蹤未修補漏洞之風險等級,確保即時採取適當之防護與應變措施。
- 提升資安防禦能力:定期執行資安系統脆弱度分析及滲透測試,並針對發現之弱點加以補強與修護,以降低潛在資安風險。同時建立網路安全事件應變計畫,依事件嚴重程度等級進行影響和損失評估, 並採取相對應之通報、處置及復原作業。
- 精進資安管理程序:依據ISO 27001國際標準建置企業資訊安全管理架構,並設置相關量測指標。全體員工與廠商應遵守資訊安全政策與標準作業程序(SOP),並透過PDCA循環以持續改善,精進資安管理成效。
- 增進網路、端點及應用安全:提升端點設備之異常偵測及防護能力,整合SOC即時監控與告警機制及MDR之事件應變與威脅分析能力,打造7X24全天候資安防護網,並於重要主機導入特權帳號登入多因子認證機制,以加強存取控管。
- 法令遵循及導入國際資安認證標準:本公司已符合ISO 27001資訊安全認證標準,作為達成各項風險管理之方法與檢驗依據。公司內部亦成立對應之資訊安全管理委員會,專責推動各項資訊安全治理與管理作業,以降低企業營運風險。
- 風險控制與即時應變:與國內專業資安業者合作,透過其專業服務進行資安即時監控與告警,並透過自動化機制提升各類資安事件之偵測、分析及回應效率,強化整體資訊及網路安全防護流程,以確保公司關鍵資產之安全。
- 教育訓練與資安意識提升:定期辦理全員資安教育訓練與不定期實施社交工程釣魚郵件測試,以持續提升員工之資安意識與防護能力。
投入資訊安全管理之資源
- 認證:通過ISO27001資訊安全認證,目前證書之有效期為114年10月27日至117年10月26日。
- 資安工具:導入SOC即時監控與告警機制,結合MDR之事件應變處置與威脅分析能力,配合行為分析系統,運用AI模型進行防護。同時實施特權存取管理,以防禦憑證竊盜及特權濫用所衍生之資安威脅。
- 強化內外連線:升級次世代防火牆、使用OpenDNS解析服務、導入產線防火牆。
- 強化備份系統:提升硬體備份環境之完善度,並導入外部雲端應用,以降低單一風險。
- 配置專責資安人員進行資安規劃與防禦。
- 持續投入預算添購資安防護系統。
