資訊安全風險管理

  公司治理 > 資訊安全風險管理
資訊安全風險管理架構
為有效推行資訊安全管理,落實資訊安全政策,成立「資訊安全策進小組」,總召集人由管理部門副總經理擔任之,負責資訊安全管理事項之審視,審核內、外部稽核結果及資源調度。小組之任務負責制訂資訊安全政策、資訊安全政策推動及審視實施情形、資源調度、事件通報及應變等協調及研議事項:

  •  推動資訊安全政策、落實資訊安全應變處理及事件通報。
  •  整體資訊安全措施之協調研議。
  •  跨單位資訊安全事項權責分工之協調及資源調度。
  •  制訂資訊安全政策、規章程序,確保各項管理規範有效,達成政策與目標。
  •  其他重要資訊安全事項之協調研議。
    • 資訊安全政策
  •  資訊安全目標
    • 1. 制定資料檔案、實體環境、軟/硬體、人員(含協力廠商)與程序之管理框架,並符合本公司資訊安全政策。
    2. 建立「資訊安全策進小組」及分工權責,推行資訊安全管理運作。
  •  策略
    • 1. 制定資料檔案、實體環境、軟/硬體、人員(含協力廠商)與程序之管理框架,並符合本公司資訊安全政策。
    2. 建立「資訊安全策進小組」及分工權責,推行資訊安全管理運作。
    3. 遵循「公開發行公司建立內部控制制度處理準則」等資訊安全管理法規。
    4. 資訊安全事件監控、通報及應變,確保盡速回應、控制及處理,降低事件影響範圍。
    5. 定期內、外部資訊安全稽核及報告,確保資安管理制度有效及持續改善。
    6. 加強資訊安全管理人力之培訓,提升本公司資訊安全管理能力。
    7. 提升員工資訊安全意識,降低內部人為因素造成之資安事件發生。
    資訊安全具體管理方案
    項目 具體管理方案
    網路安全風險
  •  設置網路防火牆控管連線
  •  啟用入侵偵測防護(IPS)、阻斷服務攻擊(DDoS)保護
  •  啟用網頁信譽評等過濾、應用程式連線管制
  •  使用者上網身份驗證管控
  •  採取VPN連線,導入多因素身分驗證
  •  電子郵件威脅過濾及掃描
  •  每年定期網路資安健診
    		•
    裝置安全風險
  •  佈署電腦資安防護軟體,集中式管控
  •  電腦操作記錄保存、USB儲存裝置管制
  •  設備連線管制
  •  電腦設備定期更新汰換
  •  軟、硬體資產定期盤點
  •  資安事件偵測、監控及處置
    		•
    應用程式安全風險
  •  對外重要系統定期弱點檢測
  •  啟用用應程式防火牆進行防護
  •  系統連線及存取授權管制
  •  定期使用者帳號及授權審查
    		•
    資料安全風險
  •  資料定期備份及異地備份存放
  •  定期災害還原演練
  •  依循「機密維護要點」及「營業祕密管理辦法」
  •  檔案存取授權管制
    		•
    宣導及檢核
  •  每年定期內部、外部資安稽核
  •  定期召開資安管理會議,進行事件檢討及研議改善措施
  •  辦理資訊安全教育訓練,提升員工資安意識
  •  每年定期辦理電子郵件社交工程演練
  •  定期參加集團資安聯防會議
    		•
    執行情形
  •  完成修訂「資訊安全政策」及發佈宣導。
  •  資安專責人員完成「CHFI資安鑑識調查專家認證課程」訓練。
  •  資訊人員完成「ISO27001:2013資訊安全管理系統風險評鑑課程」訓練。
  •  完成網路防火牆設備汰換升級,強化網路管理透明化及防護能力。
  •  完成端點資安防護系統更新升級,強化端點設備防護能力。
  •  完成舊系統電腦設備更新汰換。
  •  啟用SSL VPN多因素身份驗證,降低帳號盜用風險。
  •  完成資安健診,無發現潛在資安事件。
  •  本公司目前無重大資安事件導致營業損害之情事。