資安風險評估分析及其因應措施
本公司對資訊安全秉持不可鬆懈的態度,由資訊部門建立嚴密的資安流程機制。為提升資訊安全管理,2020年11月成立資訊安全管理小組,負責監督資安管理運作情形,並定期向稽核單位報告。亦依據相關法令規定及公司營運需求,訂定「資訊安全管理辦法」,以茲全體員工遵循。
資訊安全政策
本公司資訊安全管理機制主要包含科技運用、資料保密、人員訓練及法令規範。
- 科技運用:適時辦理網路設備、伺服器及終端機之弱點掃描,並進行修補作業,落實資安管理措施。
- 資料保密:公司有導入文件密機制,利用文件權限分級,杜絕機敏資料輕易外洩之疑慮。
- 人員訓練:新近人員皆須参加資訊安全教育訓練,建立「資訊安全,人人有責」之觀念。資安小組亦會不定期發送內部教育信件給全體同仁,並根據最新資安情勢宣導資安注意事項,提升並加強人員對資安的認知。
- 法令規範:本公司訂定多項相關資安規範與制度,以規範本公司人員資訊安全行為,並對本公司資訊資產提供適當的保護措施。
評估資安風險對企業經營不利之影響程度,規劃資訊安全檢查之控制:
- 資訊系統服務移轉至雲端機房運行。
- 安裝防毒軟體。
- 設置網路防火牆。
- 電子郵件管理控制。
- 檔案及設備之安全控制。
本公司已將資訊安全檢查作業列為年度稽核項目,稽核單位每年度至少進行一次稽核。最近年度截至年報刊印日止,未發生影響公司營運之重大資安事件。本公司已於114年2月27日向董事會報告資通安全執行情形。
因應措施:
- 設有專門人員負責處理有關資訊系統安全預防及危機處理相關事宜,以防範電腦網路犯罪與危機,維護系統安全。
- 教育員工正確使用合法軟體之概念,促使員工正確認知電腦病毒的威脅,進一步提昇員工的資訊安全警覺。
114年資通安全執行情形報告:
| 項目 |
內容 |
執行情形 |
 資通安全政策及目標訂定 |
資通安全政策訂定及核定 |
本政策由總經理核准,經董事會通過,訂定於111年7月29日。 |
| 資通安全目標之訂定 |
已於「資通安全政策」中訂定。 |
| 資通安全政策及目標宣導 |
於114年8月20日辦理資通安全政策及目標宣導。 |
| 資通安全政策及目標定期檢視 |
每季辦理資通安全政策及目標定期檢視,本季已於115年1月5日辦理完成。 |
 專責人力配置 |
專責人力配置 |
本公司目前設置「資訊安全主管」及「資訊安全人員」。 |
 資通安全教育訓練 |
員工應遵守之相關規定 |
(1) 電腦資料及設備,不得任意破壞、攜出、外借、不正當修改,維護資料完整性。
(2) 禁止使用無版權軟體。
(3) 進入主機後,若作業結束或長時間不使用機器時,應退出機器,以免資料機密外洩,為別人所破壞或造成當機之困擾。
(4) 離職或新舊職務交接時,由資訊單位衡量資料相關性作適當處置。
(5) 電腦設備無法正常作業時,使用者應立即通知資訊單位,以便檢查或維修。 |
| 資通安全教育訓練要求 |
新進人員皆須簽定資訊保密協定及接受資通安全教育訓練。 |
| 辦理資通安全教育訓練 |
每年不定期執行郵件社交工程演練。
已於114年12月5日辦理資通安全教育訓練。 |
| 資通安全及資訊人員 |
(1)於114年3月26日參加【企業資安防護強度檢測】共3小時。
(2)於114年4月24日參加【惡意程式網路封包分析技巧實務】課程共計5小時。
(3)於114年9月24日參加【滲透測試】課程共計6小時。
(4)於115年1月參加金研院資通安全影音課程共計6小時。 |
 內外部稽核 |
內部稽核 |
本公司稽核室為資訊安全監理之查核單位,已依規定就相關內部控制程序進行內部稽核,以降低內部資安風險。 |
| 外部稽核 |
已於114年12月15日至12月19日委由外部單位:資誠電腦審計,對公司資訊安全做全面檢查,以確保資安的完整性。 |
 資訊安全具體管理方案
【資通安全防護(啟用,並持續使用及適時進行軟、硬體之必要更新或升級)】
【資通安全健診】 |
防毒軟體 |
公司電腦統一安裝防毒軟體,定期確認病毒碼之更新,及時檢測網站與軟體安全性。 |
| 郵件安全管控 |
(1)郵件安全防護系統,包含垃圾郵件過濾功能、惡意郵件偵測功能、郵件外寄稽核等管理功能,提升整體郵件資訊安全。 |
| (2)個人電腦接收郵件後,防毒軟體會掃描是否為安全郵件。 |
| 防火牆 |
(1)透過防火牆網路政策限制上網行為,管控公司對外網路,禁止員工連結非工作相關之雲端儲存空間、社群網站、即時通訊等外部服務。 |
| (2)如有特殊連線需求,需額外申請開放,如:VPN服務。 |
| 系統存取控制 |
(1)採最小權限原則管理內部系統與資料之存取權限,人員無法使用非經授權之系統功能,亦無法檢視非職務所需之系統資料。 |
| (2)需要透過管理者帳號才能安裝軟體,以確保公司軟體授權合規性,降低感染病毒、後門程式之風險。 |
| (3)使用者通行密碼應符合安全原則,密碼需符合長度及複雜度之原則,並要求使用者定期更改系統密碼。 |
| 文件加密系統 |
(1)須通過稽核流程解密後才可外寄或列印,限制文件外洩後檔案存取。 |
| (2)公司隨身碟資料管控,員工僅能使用公司資產及註冊之隨身碟,無法使用個人儲存裝置,,保障公司機密資料安全。 |
| 資料備份 |
資訊系統依重要程度建立相應之備份備援機制、異地備援措施,每年定期執行災害復原演練,確保備援機制運作正常。 |
