本公司設立「資訊安全管理委員會」,明確規範資訊安全管理作業之人 員權限與責任,協調事務及推動資訊安全管理事宜,確保資訊安全各 項管理規範能有效持續地執行,並達成資訊安全之政策與目標。 本管理組織結構如下。
▍資訊安全政策
2024 年度ISO 27001 資訊安全政策與目標:
資訊安全政策:『貫徹資訊安全規定,保障公司及顧客機密不外流』
資訊安全目標:
(1) 防止駭客入侵:全年被成功入侵次數應低於1 次。
(2) 每年資訊安全事件通報為3級以上之發生次數低於1次(含)。
(3) 維持重要主機系統設備可用度為99.5%。
▍資訊安全實施重點
- 1. 資訊安全宣導
由資訊安全處理小組推行落實資訊安全制度,資訊安全代表每月透過電子郵件,宣導近期內外部資安防護重大議題,維持公司資訊系統良好營運狀況。
- 2. 資產管理
清查及建立資訊資產清冊,登錄於資訊資產清冊暨風險評鑑表,資產將按照類別分類並且標示機密等級。人員異動或離職前須確實移交所保管之相關資訊資產。
- 3. 存取控制
系統管理者權限:經資訊安全代表簽署授權書後,任命資訊安全處理小組人員為系統管理者,則此人具備系統管理者權限。 一般使用者權限:使用者應依據下列規定填寫『資訊系統使用權限申請異動單』,提出帳號及權限之申請,通過後方能建立或修改相關權限。 各資訊系統密碼將遵守密碼管理機制,不予許低強度或無設置密碼。
- 4. 實體與環境安全
本公司將所管轄之區域區分為一般區域及管制區域,一般區域為辦公室區域 管制區域為資訊機房與機密機台區域,機密管制區域應與一般區域有明顯的實體間隔,並具有獨立的出入口及門禁,以避免未授權者擅自進入。未經許可不得使用錄音、錄影或具有照相功能之資訊設備,員工手機鏡頭皆貼上封條貼紙管制,公司各區域皆設CCTV監視器紀錄至少保留3個月。
- 5. 網路安全
網路外部入口處設置防火牆,內部網路使用網段區隔、防毒中控台等防禦措施,定期執行補丁更新與弱點掃描,降低資安漏洞。
- 6. 電子郵件
郵件採用黑白名單機制,並於郵件前端架設垃圾郵件防禦系統,將提供垃圾郵件過濾、病毒信件阻攔、病毒防護等機制,強化郵件使用之安全性。
- 7. 資訊安全事件管理
發現者通報直屬主管與資訊安全處理小組,資安小組將事件進行影響之範圍、損失評估、判斷支援申請、採取之應變措施等事項,詳細記錄於「資訊安全事件報告暨處理單」,風險等級較嚴重事件需進行異常與矯正預防措施處理,避免後續再次發生,詳細記錄於「異常與矯正預防措施處理單」。