信息安全管理架构
本公司于107年成立「信息安全管理委员会」,负责资安管理之审查、安全风险评量、信息系统分级与防护,以及营运持续运作与演练。
信息安全管理委员会由总经理担任主任委员,并由信息处副总经理担任管理代表,公司各单位(包含信息、法务、稽核、人力资源、厂务、文管中心、财会等)均指派代表担任委员。
信息安全管理委员会透过年度的管理审查会议,审核资安风险分析结果并采取对应之防护措施与管理方策,以确保信息安全管理体系持续运作之适用性、适切性及有效性。
信息安全管理政策
「强化资安管理,确保数据安全,打造稳定高效的信息服务。」
本公司的信息安全管理政策涵盖本公司及海内外子公司,并将管理程序及安全防护技术应用于各项信息作业,包含作业执行时所使用之各项信息系统软、硬设备、存放各种信息及数据之档案媒体,以确保信息搜集、处理、传送、储存及流通之安全。本公司致力于强化资通讯安全管理,确保客户与公司资料在处理过程中的机密性、完整性、可用性与安全性,全面提升数据保护水平,提供安全、稳定且高效的信息服务。
具体管理方案
- 定期检视与更新资安风险管控措施:定期全面检视资安风险评估流程,并每季执行资安检查,包含弱点扫描、软件总检、防火墙与防毒系统告警监控、资安异常事件处理、资安情资收集与应对和社交邮件模拟训练等。另持续追踪未修补漏洞之风险等级,确保实时采取适当之防护与应变措施。
- 提升资安防御能力:定期执行资安系统脆弱度分析及渗透测试,并针对发现之弱点加以补强与修护,以降低潜在资安风险。同时建立网络安全事件应变计划,依事件严重程度等级进行影响和损失评估, 并采取相对应之通报、处置及复原作业。
- 精进资安管理程序:依据ISO 27001国际标准建置企业信息安全管理架构,并设置相关量测指标。全体员工与厂商应遵守信息安全政策与标准作业程序(SOP),并透过PDCA循环以持续改善,精进资安管理成效。
- 增进网络、端点及应用安全:提升端点设备之异常侦测及防护能力,整合SOC实时监控与告警机制及MDR之事件应变与威胁分析能力,打造7X24全天候资安防护网,并于重要主机导入特权账号登入多因子认证机制,以加强存取控管。
- 法令遵循及导入国际资安认证标准:本公司已符合ISO 27001信息安全认证标准,作为达成各项风险管理之方法与检验依据。公司内部亦成立对应之信息安全管理委员会,专责推动各项信息安全治理与管理作业,以降低企业营运风险。
- 风险控制与实时应变:与国内专业资安业者合作,透过其专业服务进行资安实时监控与告警,并透过自动化机制提升各类资安事件之侦测、分析及响应效率,强化整体信息及网络安全防护流程,以确保公司关键资产之安全。
- 教育训练与资安意识提升:定期办理全员资安教育训练与不定期实施社交工程钓鱼邮件测试,以持续提升员工之资安意识与防护能力。
投入信息安全管理之资源
- 认证:通过ISO27001信息安全认证,目前证书之有效期为114年10月27日至117年10月26日。
- 资安工具:导入SOC实时监控与告警机制,结合MDR之事件应变处置与威胁分析能力,配合行为分析系统,运用AI模型进行防护。同时实施特权存取管理,以防御凭证窃盗及特权滥用所衍生之资安威胁。
- 强化内外联机:升级次世代防火墙、使用OpenDNS解析服务、导入产线防火墙。
- 强化备份系统:提升硬件备份环境之完善度,并导入外部云端应用,以降低单一风险。
- 配置专责资安人员进行资安规划与防御。
- 持续投入预算添购资安防护系统。
