販售據點 | 夥伴中心 | 線上購物 |
公司治理 財務資訊 股東會 投資人活動 股務資訊 最新消息 聯絡窗口
公司治理 財務資訊 股東會 投資人活動 股務資訊 最新消息 聯絡窗口

資通安全管理


 

1. 資訊安全風險管理架構:

• 本公司成立跨部門之資訊安全管理委員會,由總經理擔任主任委員,指派全球資訊暨資安處主管擔任管理代表,主導資安政策及管理辦法之規劃及推行,向上對主任委員報告,下轄資訊安全部主管以協同總管理處、全球人力資源處、品保處、及資訊安全部,組成工作小組,負責管理辦法之制定及推行;總經理下屬各一級單位指派資安代表,於制定管理辦法時,參與討論並回饋所屬部門之意見,辦法確認後,協助辦法之推行。以此,確保本公司之資訊安全管理運作之有效性。
• 資訊安全管理委員會負責制定資訊安全管理政策及管理辦法,定期檢討修正。
• 資訊安全管理委員會定期召開檢討會議,確保管理機制之運行順暢,並每年定期向董事會報告。
• 全球資訊暨資安處下設資訊安全部及資安主管、人員,統籌所有資安相關政策、推行、及資安防禦架構的規畫建置。




2. 資訊安全政策

本公司資訊安全政策:

「風險管理 法規遵循、縱深防護 強化應變、機敏文件 歸檔備份、資訊安全 人人有責」

• 確保公司資訊的機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),管理制度與流程的合規性(Regulation Compliance)。
• 從組織、人員、流程、技術四大面向強化縱深防護能力,強固核心資通系統之韌性,確保持續營運。
• 定期因應內外在資通安全情勢變化,檢討風險管理措施及資安事件應變處理作業程序之有效性。
• 落實機敏資料保護及資料備份/還原作業,避免因人為疏失、或蓄意作為、或自然災害,資訊資產遭致不當使用、竄改、毀損等,影響業務運作,造成公司權益及競爭力之損害。
• 不論客戶是在哪一個地區或國家,不論該地區有否立法,妥善保護客戶資訊及隱私。
• 辦理教育訓練,同仁應確實參與訓練,以提高同仁之資訊安全意識及個人防護能力。


3. 取得ISO 27001認證

為進一步強化資訊安全管理,建構健全的資訊安全管理體系(ISMS, Information Security Management System),本公司已於111年取得ISO 27001 認證,目前證書之有效期為111年10月2日至114年10月2日。透過此資訊安全管理體系之建立及落實PDCA (Plan Do Check Action),繼續強化資訊安全日常管理及異常事件應變處理能力,保護公司資訊資產安全,確保公司之競爭力。


4. 資訊安全管控措施

(1). 人員資安意識教育訓練及日常資安常識宣導
定期實施資訊安全教育訓練及常識宣導,並錄製線上教育訓練課程,以提高公司同仁對資訊安全之認知及正確行為。已於112年完成員工社交工程演練,了解人員對於釣魚郵件、網頁的資安意識,針對不足之處,施以加強的訓練。

(2). 資訊系統安全管理
A. 公司主機伺服器、個人電腦及筆記型電腦統一安裝防毒軟體,並自動更新病毒碼,並定期檢視更新狀況;並配置端點偵測及回應軟體,監控異常行為。
B. 公司主機伺服器、個人電腦及筆記型電腦及時派送系統安全性漏洞的修補程式,確保安全性修補作業完善。
C. 郵件系統建置資安模組,包含垃圾郵件過濾功能、惡意郵件偵測功能、郵件備存稽核等管理功能,提升整體郵件資訊安全。
D. 應用系統及資料庫,每日進行資料備份,符合3/2/1資料備份原則,3份備份、2種媒體儲存、1份異地存放,每年定期實施系統資料還原演練作業,並監控每日備份結果,以確保資料儲存安全性,提升資訊安全的韌性。
E. 公司隨身碟資料管控,利用資產管理系統限制員工僅能使用公司資產及註冊之隨身碟,無法使用個人儲存裝置,保障公司機密資料安全。
F. 各部門移除管理者權限,使用公司授權之合法軟體,並遵守相關法令規定,非經合法授權及與業務無關之軟體,無法安裝使用,以確保公司軟體授權合規性,並降低使用非法軟體感染病毒、後門程式之風險。
G. 資訊系統業務委外時,於事前審慎評估可能潛在安全風險,並與廠商簽訂適當的資訊安全保密協議。
H. 每年進行資訊安全內部稽核,及接受ISO27001外部稽核,確保管理程序的落實及改善。

(3). 網路安全管理
A. 公司對外服務應用系統以防火牆與外部網際網路隔離,並限制存取端口阻斷惡意連線,並定期檢視異常連線報告。
B. 公司對外網路佈署七層式防火牆,過濾所有進出封包流量,針對違反網路安全之流量進行阻絕,並定期檢視異常報告進行分析處理。
C. 公司對外網路建置上網行為管控設備,禁止員工連結非工作相關之雲端儲存空間、郵件信箱、社群網站、即時通訊、串流媒體等外部服務。
D. 公司內部辦公區域針對私人無線網路設備及4G訊號進行管控,避免公司資料經由私人無線裝置外洩,並阻絕外部非法無線裝置。
E. 管控員工私人電腦設備,針對非公司合法電腦裝置進行偵測及阻絕,以避免私人設備接入公司網路竊取公司機密資料。
F. 建置內部防火牆,達成防禦縱深目標,保護公司各部門重要資訊,避免遭受外部駭客惡意攻擊,並進行應用程式存取控管。
G. 以VPN由外網登入公司內網時啟用雙因子認證(OTP)。
H. 管理公司筆記型電腦進行對外資料分享的行為,以避免員工攜出筆記型電腦,洩漏公司重要機密資訊。

(4). 系統存取控制
A. 員工新進、調整職務及離職時,需上系統提出申請,通知全球資訊暨資安處執行使用者之新增、調整或刪除其使用權限,確保系統存取安全。
B. 資訊系統必需設定帳號密碼,使用者通行密碼應符合安全原則,密碼需符合長度及複雜度之原則,並要求使用者定期更改系統密碼。
C. 內部應用系統依照人員工作需求,由使用者登入系統提出IT服務申請,再經由相關主管進行審核,最後由全球資訊暨資安處進行系統權限設定。
D. 針對廠商系統建置及維護作業,限制其可接觸之系統權限範圍,並嚴禁核發長期性之系統帳號、密碼。基於實際作業需要核發短期或臨時性之系統帳號、密碼供廠商使用,需先登入系統申請並於使用完畢後,立即取消其使用權限。

(5). 資安永續運作與管理
A. 成立資訊安全管理委員會,負責資安政策、管理辦法之建立及推行,審議資安問題與因應對策,並要求全體員工確實遵守,維護公司資訊安全;日常的資安維運由資訊安全部專責負責。
B. 已於民國111年取得ISO 27001:2013認證藉由管理程序的完整規範及落實,進一步強化資安管理系統,以保護公司及客戶資訊資產安全;每年接受外部稽核以確保管理程序的落實及持續改善。
C. 符合金融監督管理委員會(金管會)於「公開發行公司建立內部控制制度處理準則」第九條之一規定,本公司屬於第二級上市(櫃)公司分級標準,已於民國112完成配置資訊安全部專責主管及資安專責人員共2人。
D. 訂定及執行資安日常監控作業流程,若發生資訊安全事件,依照制訂的資訊安全事故管理程序,迅速通報相關單位主管及資訊安全部人員,進行適當處置及快速進行復原作業。
E. 全球資訊暨資安處定期評估資安風險造成損失之可能性,必要時投保適當之資安保險,以降低資安事件產生之風險與損失。


5. 投入資通安全管理之資源

本公司為建構具有防禦縱深的資安防護機制,以避免因資安問題所造成的業務中斷風險,確保公司的業務持續運作,有效支持公司的營運績效。
就資安的防禦縱深來看,可分為網路、端點、資料、雲端等防禦的層次,資安相關資源投入在各層次的強化包括–

• 第一道及第二道防火牆之建置、無線熱點阻絕、非公司電腦設備連線阻絕、加密憑證的強化、網路監控看板的建立、建立符合資安規範的居家辦公(WFH)連線架構、VPN搭配雙因子(OTP)認證。
• 落實伺服器及使用者端的軟體漏洞修補作業及看板管理、管制端點間資料分享的管道以阻絕病毒擴散、建立重要系統服務的容錯叢集(Cluster)架構以保障服務的可用性。
• 建置端點偵測及回應機制,有效監控端點的異常行為,判斷是否有駭侵事件,並及時處置、避免風險。
• 落實3/2/1備份作業及管理看板的建立、落實災難還原(DR, Disaster Recovery)演練及管理看板的建立、USB資料輸出及外寄郵件管理、規劃機敏資料保護平台的導入。
• 雲端網站的網頁防火牆(WAF)啟用。

依循ISO27001管理程序,除了強化資安的管理系統外:
1. 排定每年執行弱點掃描作業,針對檢測結果中的高風險項目進行改善,透過強化措施持續提升資安防護品質。
2. 對於提升員工的資安意識,避免個人電腦遭受駭侵釣魚郵件的滲透,排定社交工程演練,以量測員工的資安警覺性,並施以相應的資安教育。

此外,為了及時掌握資安情資,取得官方及民間之資安聯防的資源及經驗分享:
1. 本公司已加入TWCERT/CC (https://www.twcert.org.tw/) 企業會員
2. 資安主管也加入「台灣資安主管聯盟」(https://ciso.tca.org.tw/)會員

同時,也參考資安廠商所提供的外部威脅情資,綜合以上,依據情資內容進行風險評估及對策訂定,由資安人員確認與追蹤各項情資處理結果,藉此強化對外部資安威脅防護。
本公司已建立「資訊安全通識教育訓練」線上課程,並將此課程列為對全體員工的必修課程,每年執行全體員工的訓練。