資通安全管理

資通安全管理

1.    資通安全風險管理架構:受科技發展影響,資訊安全已成為企業重要課題,本公司為維護公司資訊系統,確保公司順利運作由資訊處負責統籌資訊安全,擬定相關控制程序與管理事宜,並定期召開管理審查會議與資安會議進行資訊安全檢核。2024年本公司業已召開管理審查會議一次,資安會議四次與內部稽核會議一次。

資通安全風險根據ISO27001:2022規範,本公司業已成立資訊安全委員會:

小組名稱

工作職掌

負責人與成員

資訊安全管理委員會

(管理代表)

1.定期會同各組代表召開管理審查會議。

2.核准並頒行資訊安全政策及相關規範等一、二階資訊安全管理系統文件。

3.資安管理委員會成員異動之核准與發佈。

4.進行資訊安全管理制度之審查

5.審核風險評鑑的結果與風險處理計畫

6.資訊安全事務之分配、協調與督導。


資訊安全管理代表負責:

1.跨部門議題溝通協調。

2.彙總資訊安全管理系統執行所需必要資訊,提報管理審查會議討論。

3.管理與追蹤管理審查會議中報告執行成果及指示事項。

4.推廣既定的資訊安全政策相關文件。

協助資訊安全委員會執行資訊安全事務之分配、協調與督導。

委員會召集人: 總經理

負責人為管理代表,由總經理指派。

文件管理組

1.負責文件管理,包含:文件規範之制定與文件變更及發佈等作業。

2.資訊安全訊息內部之推廣、發佈與推廣相關之保護認知與宣導訓練。

蒐集、接收與更新外部之法令規範與標準訊息,並適時發佈、提供內部同仁,可能影響企業營運、資訊安全等相關重要資訊。

本公司內人員

稽核組

1. 討論及規劃年度內部稽核作業,決定稽核重點與方式。

2.進行稽核作業前完成稽核計畫並提交予資安管理代表審核。

3.執行資安稽核活動並提出稽核報告及相關建議事項予資安管理代表。

報告稽核結果與改善情況追蹤。

本公司通過內部稽核員訓練之人員,或外部具ISO/IEC 27001:2022主導 稽核員資格人員

風險管理組

1.確認資訊資產的所有權與控制皆有適當的管理,同時符合資安風險管理政策與程序。

2.主導風險評鑑活動。

3.規劃資訊安全風險處理。

4.研擬、協調、教導與協助安控機制與措施之執行。

5.建立與進行資安事故發生之事故通報機制。

6.事故發生後依計畫實施相關緊急應變處理程序之通報與執行。

7.營運持續計畫之規劃、評估與定期演練之實施。

8.規劃危機處理程序。

本公司內人員

2.    資訊安全管理系統:為展現對資安重視程度,並與國際資安標準接軌,已於113年已完成ISO27001:2022資訊安全管理系統驗證,以強化資訊安全事件之應變能力,保護公司與客戶之資產安全。

3.    資通安全政策:

(1)資安政策

1.依照本公司制定之資訊安全政策,期能為客戶提供專業、安全之產品與專案開發之服務。

2.防止駭客、病毒等入侵及破壞,導致資訊外洩。

3.加強人員資安訓練、提高服務品質,以降低資通安全風險,確保公司持續營運、保障客戶之權益。

(2)範圍:本公司資訊安全管理範圍,包括本公司所屬各據點資訊作業之相關人員、管理制度、應用程式、資料、文件、媒體儲存、硬體設備及網路設施等標的。

(3)目標:避免資訊系統遭受來自內、外部人員使用不當或蓄意破壞,或已遭受不當使用、蓄意破壞等緊急事故時,公司能快速應變處置,且在最短時間內回復正常運作,降低該事故可能帶來之損失與營運風險。

(4)程序:遵循本公司ISO27001:2022 ISMS各階文件之規範,落實執行資訊機房、網路安全、系統開發及程式修改、資料安全、資訊保密、資訊委外等管理。

4.    具體管理方案及投入資通安全管理之資源:

(1)強化網路與網頁安全(防火牆與入侵偵測系統、VPN連線、網站弱點掃瞄)。

(2)加強端點安全(端點管控系統、防毒軟體防護、網站管控、即時通訊管控、落實Windows更新)。

(3)資料外洩保護(文件分級與分權使用、可攜式儲存裝置管控)。

(4)電子郵件安全(垃圾、病毒或釣魚郵件阻擋、郵件備存機制)。

(5)增強IT基礎架構(伺服器及網路叢集架構建立、資料異地備份)。

(6)還原演練(檔案、資料庫與系統異機還原演練)。

(7)提升資安意識(定期宣導、學分制教育訓練、社交工程演練)。

(8)落實執行ISO27001:2022 ISMS各階規範,並維持ISO27001:2022之定期查驗。

除上述強化專案外,本公司落實執行各項既定資訊政策,包括不定期參與資訊安全研討會,以了解最新資訊安全問題、趨勢及相關強化措施,以持續強化與改善資訊安全管理。