資通安全風險管理

本公司經112年12月26日董事會決議通過設置資通安全專責單位，配置資安主管及資安人員，並訂定資通安全管理辦法、資通安全政策、具體管理方案及投入資通安全管理之資源等。
 

一、資通安全風險管理架構

本公司資通安全專責單位，配置資安主管一名及資安人員一名，負責訂定公司資通安全政策，規劃資訊安全措施，並執行相關之資訊安全作業。

本公司稽核室為資通安全監理之查核單位，若查核發現缺失，則要求受查單位提出相關改善措施並呈報董事會，並定期追蹤改善成效，以降低內部資安風險。

每年會計師進行資訊作業查核，若發現缺失或有改善建議，會要求改善措施並追蹤改善結果。
 

二、資通安全專責單位職責

(一)資通安全政策與目標建立，統籌資通安全方針之發展與監控。

(二)資通安全風險之管理及監督，發掘潛在資安風險及需求。

(三)資通安全責任之定義與宣導，以明確宣達資訊安全責任與要求。

(四)資通安全控管標準之建立與整合，並統籌資訊安全解決方案之推動與核准。

(五)跨部門資通安全事務之協調，資通安全執行績效之評估。

(六)資通安全事件之應變與協調，確保資通安全運作之有效性。
 

三、資通安全政策及管理方案

為強化資通安全管理，確保資訊的可用性、完整性以及機密性，並免於遭受內、外部的蓄意或意外的威脅，本公司資通安全設施與管理方式分為七大項，茲闡述如下：

(一)核心業務及資訊資產價值鑑別

       1.每年檢視公司之核心業務及應保護之機敏性資料，鑑別可能造成營運中斷事件之發生機率及影響程度，並明確訂定核心業務之復原時間目標。

       2.每年盤點資訊資產，並建立資訊資產清冊，以鑑別資訊資產價值。

(二)電腦設備安全管理

       1.本公司電腦主機、各應用伺服器等設備均設置於專用機房，機房進出由資訊室管制，且保留進出紀錄存查。

       2.機房內部備有獨立空調，維持電腦設備於適當的溫濕度環境下運轉；並放置藥劑式滅火器，可適用於一般或電器所引起的火災。

       3.機房主機配置不斷電與穩壓設備，避免台電意外瞬間斷電造成系統當機，或確保臨時停電時不會中斷電腦應用系統的運作。

(三)網路安全管理

       1.強化網路控管，配置企業級防火牆，阻擋駭客非法入侵。

       2.因業務需要外部連線至台北總公司時，應提出申請並提供外點IP位置，公司使用指定IP位置的連線作業方式，配合防火牆設定固定IP，避免非集團成員存取內部網路及各項服務。

       3.同仁若要由遠端登入公司內網存取資訊系統，必須跟資訊室提出申請，並索取VPN帳號、密碼後方可登入。

       4.尊重智慧財產權，避免下載非法軟體；來路不明電子郵件不宜任意開啟，以免啟動駭客惡意執行檔。

(四)病毒防護與管理

       1.伺服器與同仁電腦內均安裝有端點防護軟體，病毒碼採自動更新方式，確保能阻擋最新型的病毒，同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為。

       2.防毒軟體對於所偵測或攔截到的病毒，除立即予以隔離或刪除外，並要求同仁需通報資訊室以利資訊人員採取因應行動。

(五)系統存取控制

       1.同仁對各應用系統的使用，填寫電腦資訊系統申請單，經權責主管核准後，由資訊室建立系統帳號並設定權限後方得存取。

       2.帳號的密碼設置，規定期限(三個月)需更換密碼，並設定適當的複雜性(英數混雜)，才能通過。

       3.同仁職務異動或辦理離(退)職手續時，必須填寫電腦資訊系統申請單，進行各系統帳號的修改或刪除作業。

(六)確保系統的永續運作

       1.透過軟體備份Server及其他資料至外接硬碟共兩份，每周本地及異地外接硬碟互換。

       2.災害復原演練：每年實施模擬演練，確保備份資料的正確性與有效性。

(七)資安宣導與教育訓練

       1.新進員工於新人教育訓練時，進行資安政策及目標之宣導。

       2.定期跟同仁宣導資安風險及目前最新的資安情資，以強化人員資安意識。

       3.指派資訊室及資安專責單位吸收新知，不斷更新資安知識，並參加資通安全教育訓練課程。
 

 四、投入資通安全管理之資源

(一)硬體設備：防火牆、不斷電設備(UPS)、伺服器等。

(二)軟體系統：郵件防毒、垃圾郵件過濾、備份管理軟體等。

(三)資安政策

       ●  2022年10月年發布本公司資通安全政策及管理方案內部公告。

       ●  2023年12月正式訂定資通安全管理辦法。

(四)資安宣導

       ●  2023年03月發布上半年資訊安全宣導內部公告。

       ●  2023年09月發布下半年資訊安全宣導內部公告。

(五)教育訓練

       ●  2022年新進同仁均完成資訊安全與保護教育訓練，共培訓6人次、累計時數4小時。

       ●  2022年資安專責主管及人員進修課程共1堂，共培訓3人次、累計時數6小時。

       ●  2023年新進同仁均完成資訊安全與保護教育訓練，共培訓3人次、累計時數2小時。

       ●  2023年資安專責主管及人員進修課程共5堂，共培訓5人次、累計時數19小時。

(六)其他投入資通安全管理之資源

       ●  每日各系統狀態檢查。

       ●  每週定期備份及備份媒體異地存放之執行。

       ●  系統災難復原模擬演練。

       ●  內部稽核。

       ●  會計師稽核。
 

五、歷年資訊安全措施推動執行成果

2022年度

       ●  員工因未遵守資訊安全與機密保護程序而受到處分的比例為0%。

       ●  員工因開啟釣魚郵件使公司遭受侵害事件為0件。

2023年度

       ●  員工因未遵守資訊安全與機密保護程序而受到處分的比例為0%。

       ●  員工因開啟釣魚郵件使公司遭受侵害事件為0件。