資訊安全管理
為維護公司資訊資產安全及提升營運韌性,本公司制定「資訊安全政策」供全體同仁共同遵循,明訂資訊安全原則與管理作法,確保在各項資訊風險威脅下,仍能維持業務持續運作並避免重大損失。資訊安全管理政策涵蓋風險評估、控管措施、監測機制及教育訓練等核心要素,作為公司整體風險管理之一環。
資訊安全管理架構
本公司設立資訊安全主管及專責資安人員,負責資訊安全策略規劃、資安事件管理及教育訓練推動,並由管理層督導其執行成效。
資訊安全相關事項納入年度內部稽核計畫,並視需要配合外部稽核作業進行檢視,依稽核結果持續檢討並強化相關管理措施,以確保制度落實與持續改善。
公司訂定網路、電子郵件、密碼設定、軟體下載及檔案備份等資訊安全政策,並持續監控異常流量與資安事件,確保能即時應變與處理。
資通安全政策
- 資訊風險管理:定期盤點資訊資產並識別潛在威脅,採取相應控管措施,確保核心業務系統之安全性與可用性。
- 存取控制:依職務需求採用最小權限原則,控管系統與資料存取權限。
- 系統與網路安全:建置入侵偵測、防禦機制及相關安全控管,防範未授權存取及異常行為。
- 資安教育訓練:透過制度化郵件宣導方式,加強員工對社交工程及資訊安全風險之識別與防範能力。
具體管理方案及投入資通安全管理之資源
資安事件管理機制
本公司建立資安事件管理與通報機制,依事件性質與影響程度,採取相應之應變與處理措施,以確保事件發生時能即時因應並降低對營運之影響。
資安事件處理範圍涵蓋可疑異常行為、釣魚郵件、惡意軟體感染、帳號異常使用及系統存取異常、DDoS 攻擊等情形。事件發生時,將由資安人員進行通報、初步分析與影響評估,並視狀況採取系統隔離、帳號控管、修補漏洞或系統復原等必要之技術與管理措施。
針對影響範圍較廣或涉及關鍵系統之資安事件,將強化內部通報與管理層掌握,並依相關法令規定辦理後續通報及處置作業。事件結束後,將進行原因分析與改善檢討,作為持續精進資通安全管理措施之依據。
本公司依營運需求投入資通安全管理資源,配置專責資安人力,並結合防火牆、網路監控及相關安全防護機制,確保資安事件管理流程得以有效執行,提升整體資安防護能力。
員工資安教育與社交工程防護
為提升全體員工資訊安全意識,本公司建立系統化資安宣導制度,透過電子郵件方式定期發布資安提醒與社交工程防範資訊,內容涵蓋常見詐騙手法、攻擊模式及相關防護注意事項。
- 全體員工:每年至少進行二次資安宣導。
- 高風險部門:依業務性質加強相關教育訓練,強化敏感資料保護與資安事件應變能力。
114年度已完成四次資訊安全宣導,包含可疑釣魚信件之範例,提高同仁對資訊安全的警覺性。
資安投資與基礎建設
本公司依營運需求配置專責資安人力,並持續投入資訊安全相關資源,建置防火牆及網路安全監控機制,強化系統與網路防護能力。
同時定期進行漏洞掃描與安全檢視,並於郵件系統啟用多重要素驗證(MFA)等安全機制,確保資訊安全管理措施持續有效運作。