本公司組織設有「數位發展部」,為非隸屬使用者單位之獨立部門,其轄下設置「資通安全課」,負責統籌並執行本公司資訊安全政策,訂定內部資安規範與制度、規畫暨執行資訊安全作業與資安政策推動與落實,宣導資訊安全訊息,提升員工資安意識,蒐集及改進組織資訊安全管理系統績效及有效性之技術、產品或程序等,並依需求適時調整,以強化本公司之資訊安全管理、確保資料、系統及網路安全。本公司每年定期將資通安全管理情形呈報至董事會。
資通安全風險管理架構
資通安全政策
1.資訊安全之目標
(1)確保本公司資通作業之正確性、可用性、完整性與機密性。
(2)避免內、外部資安事件之威脅。於事故發生時,亦能迅速應變,在最短時間內回復正常運作,降低事故帶來的損害。
(3)建立安全及可信賴之電腦化作業環境,確保本公司資料、系統、設備及網路安全,以保障公司利益及各單位資訊系統之永續運作。
2.資訊安全之範圍
(1)人員管理及資訊安全教育訓練。
(2)電腦系統安全管理。
(3)網路安全管理。
(4)系統存取管制。
(5)系統發展及維護安全管理。
(6)資訊資產安全管理。
(7)實體及環境安全管理。
(8)資訊系統永續運作計畫管理。
(9)資訊安全稽核。
3.資訊安全的原則及標準
(1)定期辦理資訊安全教育訓練及宣導,包括資訊安全政策、資訊安全法令規定、資訊安全作業程序、以及如何正確使用資訊科技設施等,促使員工瞭解資訊安全的重要性,各種可能的安全風險,以提高員工資訊安全意識,並遵守資訊安全規定。
(2)為預防資訊系統及檔案受電腦病毒感染,對於電腦病毒應採取偵測及防範措施,對入侵及惡意攻擊應建立主動式入侵偵測系統,以確保電腦資料安全之要求。
(3)為預防本公司遭遇天災或人為之重大事件,將造成重要資訊資產及關鍵性業務或通訊系統等中斷,應建立資訊系統永續運作規畫之政策。
具體措施
1.網際網路資安管控
預防外部入侵
- 架設防火牆(Firewall)
- 定期對電腦系統及資料儲存媒體進行病毒掃瞄。
- 各項網路服務之使用應依據資訊安全政策執行。
- 定期覆核各項網路服務項目之System Log,追蹤異常之情形。
2.資料存取管控
預防資料外洩
- 電腦設備應有專人保管,並設定帳號與密碼。
- 依據職能分別賦予不同存取權限。
- 調離人員取消原有權限。
- 設備報廢前應先將機密性、敏感性資料及版權軟體移除或覆寫。
- 遠端登入管理資訊系統應經適當之核准。
3.應變復原機制
日常營運維持
- 定期檢視緊急應變計劃。
- 每年定期演練系統復原。
- 建立系統備份機制,落實異地備份。
- 定期檢討電腦網路安全控制措施。
4.加入資安聯防組織
- 加入資安聯防組織,可適時取得外部資安資訊分享及資安事件協助因應管道。
5.資安宣導、教育訓練及檢核
- 隨時宣導資訊安全資訊,提升員工資安意識。
- 強化內部資安教育訓練,定期舉辦資安講座、模擬演練及測驗,確保員工了解最新的資安威脅與防範措施。
- 推動外部資安課程與證照取得,強化資訊人員資安專業度。
- 每年定期執行資通安全檢查,呈報總經理。
6.資安事件處理
- 訂定災害復原計畫。
- 若無事件發生時定期模擬演練。
- 事後撰寫災害復原計畫執行報告進行檢討改善。
7.資安險
鑒於資安險為新興保險種類,且本公司客戶主要為企業客戶,無消費者個資保管風險,考量保險範圍、理賠範圍、理賠鑑識、鑑識機構資格等議題綜效,本公司經評估後暫不投保資安險。
但因應資訊安全所面臨的挑戰,如 APT 進階持續性攻擊、 DDoS 攻擊、勒索軟體、社交工程攻擊、竊取資訊等資安議題,已採取相關作法:除前述宣導與教育訓練外,另安排執行安全性檢測、資通安全健診、社交安全及資安事件演練,強化公司同仁資安危機意識及資安處理人員應變能力,以期能先防範及第一時間有效偵測並阻絕擴散。