 |
|
公司治理/ 資通安全資通安全管理: (一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源: 1.資通安全風險管理架構 (1)本公司以資訊室為資通安全風險管理權責單位,負責訂定、規劃及執行資通安全風險管理政策,並定期向董事長報告公司資通安全施行概況。 (2)本公司稽核單位為資通安全管理之督導單位,負責督導資通安全管理執行狀況,若有查核發現缺失,即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低資通安全風險。 2.資訊安全政策 (1) 本公司訂定並公告資訊安全政策,強化資安防護,並落實執行資訊安全風險評鑑及管理作業,確保公司資訊資產的機密性、完整性、可用性及個人資料的保護。 3.資訊安全具體管理方案 (1)USB管控:管制USB隨身碟之使用,避免資料外洩及電腦病毒傳播。 (2)異地備援系統規劃(DR)演練:資料定期備份;核心系統定期災難復原演練。 (3)端點資安:建置端點防毒措施,強化惡意軟體行為偵測。 (4)弱點掃描:每年定期執行www 內部網段弱點掃描,修補系統與軟體風險漏洞。 (5)滲透測試:每年定期執行www主機滲透測試,修補資安漏洞。 (6)資安宣導:每月不定期員工資安意識宣導。 (7)網路資安:導入NGFW防火牆:提昇網路資安防護力。 (8)社交工程演練:每年定期模擬釣魚網站的手法進行演練,以加強員工的資安意識,同時敦促主管加強宣導所屬同仁的資安警覺。 (9)文件加密:管制文件之使用,預防資料外洩。 (10)外發文件加密管理:管制提供予廠商或客戶文件之使用,避免資料外洩。 (11)文件列印浮水印:預防文件被不當攜出。 (12) SOC資通安全威脅偵測管理: 第一時間內對資安事件做應變處理,將損害降至最低。 (13)資安健診:每年定期執行資產識別與盤點、網路架構檢視、網路行為分析與惡意活動檢視、封包側錄與深度封包分析、提供風險評估與建議改善措施方案。 (14)零信任網路安全機制:防止未授權設備連接 , 縮小安全事件的影響範圍。 (15) MDR威脅偵測應變服務:全年不中斷的資安專家偵測與應變服務。 (16)電子郵件過濾機制:阻檔垃圾郵件、網路釣魚內容和惡意軟體,保護收件匣免受侵擾。 (17)雙因子認證:必須提供兩個不同的驗證因素,而不只是使用者名稱和密碼。防止惡意人士接近網路和系統。 (18)複雜性密碼原則:強化密碼規則,採政府組態基準(GCB)密碼原則。 4.投入資通安全管理之資源 (1)資安案例分享及強化資安意識宣導,114年共計14次。 (2)軟體盤點:每年一次,以保證合法使用授權軟體及防範惡意軟體。 (3)端點防護:每日檢查病毒碼更新,每日檢查微軟作業系統更新。 (4)威脅偵測應變服務:X86伺服器與個人電腦全面導入MDR。 (5)復原(DR)演練:每半年一次,核心系統復原演練。 (6)個人電腦/伺服器弱點掃瞄:每年一次,修補系統軟體資安漏洞。 (7)雲端系統:全面採用Azure/Office 365/Google Workspace,服務不中斷。 (8)滲透測試:每年一次,修補網站資安漏洞。 (9)網站弱點掃描與修補:每年二次,修補軟體風險漏洞。 (10)社交工程演練:每年一次,加強員工的資安意識。 (11)資通安全威脅偵測管理(SOC):對資安事件做應變處理並將損害降至最低。 (12)資安健診:每年定期執行,提供風險評估與建議措施。 (13)維護合約:系統與設備維護合約,降低營運風險,縮短停機時間。 (14)ISO/IEC 27001:2022資訊安全管理標準。
|