資訊安全風險管理架構
註:2022/8/5董事會通過
資訊安全政策
◤恪遵資安規範
遵循相關法律,訂定各項資安管理作業與辦法,並定期依實際狀況評估及調整。
◤強化人員資安意識
企業同仁應參與資安相關教育訓練,以提高全公司資安意識。
◤避免機密資料外洩
保護企業機密資訊,避免未經授權的資訊被存取與竄改,並避免任何敏感資料外洩。
◤落實內部資安稽核
定期執行內部資安各項稽核措施,確保各項作業落實執行。
資訊安全具體管理方案
項目
方案
資安防護
文件管理
l 建立文件管理平台及進行文件分級管理。
l 建立機密文件回收及文件銷毁流程並進行追蹤及管理。
l 文件及資料加密控管及有效追踪。
l 郵件外寄控管。
風險管理
l 資訊機房風險評估及定期弱點掃描、核心資通系統定期執行災難還原演練。
資訊作業安全
l 強制密碼設定規則、建置遠近端備份/備援服務。
l 同仁必須申請VPN帳號,方可由外部登入公司內網存取資訊系統。
l 資訊系統帳號需經公司規定進行申請,同仁離職需會辦資訊單位,進行帳號刪除。
裝置網路安全
l 設置設備安全防護機制、監控網路及資訊存取安全。
l 依電腦類型建置端點防毒措施,强化惡意軟體行為偵測。
l 强化防火墙與網路控管,防止電腦病毒跨機台及跨廠區擴散。
場域安全
l 進行入廠來賓/訪客之電腦管制。
l 設立辦公區域、電腦機房之門禁管制及監控異常事項。
檢討與持續改善
教育訓練及宣導
l 加强員工對郵件攻擊的警覺性,定期執行釣魚郵件防禦偵測。
l 定期實施資訊安全教育訓練,提升員工資安意識。
投入資通安全之資源
專責人力資訊安全單位共三位員工,負責公司之資訊安全規劃、技術導入等相關事項,以維護及持續強化資訊安全。
◤網路硬體設備
防火牆、備份主機、機房溫(濕)度偵測系統、不斷電系統、機房自動滅火系統、機房設置監視器、異地備份機房。
◤軟體系統
檔案加密管理軟體、備份管理軟體、防毒軟體、端點偵測與回饋軟體(EDR)、垃圾郵件過濾(SPAM)。
網路存取控制系統(NAC)、安全營運中心(SOC)。
◤宣導與演練
定期資安宣導、災難復原執行演練、權限覆核。
◤教育訓練
2024年度進行一次線上資訊安全教育訓練及考核;並執行一次社交工程釣魚郵件測試。
◤客戶滿意
無重大資安事件,亦無違反客戶資料遺失之投訴案件。