确保公司机密信息、相关营业秘密与个人资料,能受到妥善的保护,并持续强化信息安全防护能力。相关信息作业除了遵行国际资安标准外,更要能符合国、内外相关法令规范。
信息安全管理架构
机密信息保护委员会:
由各部门代表组成,负责全公司的机密信息管制作业之研议、建置、稽核与推动事项。每季定期召开会议,讨论相关议题。并推动相关机密信息保护作业,包括:
- 每季定期进行查核活动,以确保公司的机密信息保护措施的落实
- 透过日常工作与各种场合,倡导机密信息的观念与遵守事宜。
- 落实员工的教育训练,提高员工资安意识与能力。除了将机密信息管制相关内容,列为新进人员的必训课程外,每年所有员工均必须进行复训,以期能不断强化与提升员工资安意识
个人资料保护委员会:
为使本公司对于个人资料的保护与管理有所遵循,降低营运风险,并能符合
国际相关个资保护规范,成立该委员会,以落实数据保护,并积极推动相关
个人资料保护作业,包括:
- 制定个人资料保护办法与推行各项行动
- 评估个人资料风险,建立管理机制
- 建立事故的预防、通报及应变措施
- 进行认知倡导与教育训练
- 建立稽核机制,监督个人资料维护的持续改善
信息安全防护
本公司实施之信息安全管理措施,包含如下:
| 类型 | 说明 | 机制 |
| 账号与密码保护 | 强化个人密码质量与强制变更,以保护账号安全性,避免被盗用 | 强制密码设定质量与密码定期变更机制 强制双因子认证机制 |
| 人员账号权限管理 | 有效控管使用者的账号与权限、移除非必要的账号与授权,并定期审视用户相关系统的权限 | 每日自动清查异常账号 定期进行账号权限审核作业 定期进行信息系统权限审核 |
| 访问控制 | 控管相关信息系统的存取,并能有效纪录与审核使用纪录 | 定期审核存取纪录 定期审核远程访问纪录 |
| 网络控管 | 避免非法存取,并过存取控管,避免交互攻击/感染 | 信息设备连网控管 网络切割与并行存取控管 |
| 黑客防治 | 找出系统潜在弱点、攻击来源,采取预防与因应机制 | 定期进行系统弱点扫描与更新 定期进行病毒扫描 Email 沙盒检测隔离钓鱼信件 设置诱饵系统并与内部防火墙连动 实时隔离可能的入侵者 |
| 系统可用性 | 确保系统的可用性与可靠度,并降低异常中断时间,减少对公司的影响 | 定期进行系统异常演练 系统备援机制的建立与强化 |
| 泄密防范 | 避免机密信息外泄 | 定期审核外寄信件 高风险人员使用纪录审核 不定期 spot-check 机密查核机制 |
强化内部管理与IT自动化系统以保护机密数据
Hacking ➔ WAN
- 定期弱点扫瞄并布署入侵检测系统
- 内网多重防火墙
- 交换机端口隔离
- 反向钓鱼诱饵系统
- Email沙盒
Illegal External Computer ➔ LAN
- 系统主动阻断未授权的设备接入公司内网
Server
- 强制密码与双因子认证防范未授权的存取
- 定期权限与存取纪录确保账号权限有效性
End Point
- 主动阻断移动式储存媒体接入公司计算机
- 公司计算机以硬件锁防止私人HDD接入
- Portable Router 系统自动阻断公司计算机链接非公司网络路由器
资安事件通报程序
本公司资通安全通报程序如下,资安事故之通报与处理,皆遵守该程序之规范进行。
1. 机密信息保护委员会委员直接举报或是同仁发现资安事件,跟委员或申诉信箱举报
2. 由机密信息保护委员会委员与人事部门组成调查小组,调查与确认违规事项,并出具改善措施与违规处理报告书
3. 后续追踪与查核当事人改善情形,并通知当事人主管,要求善尽督导之责
4. 针对需惩处个案,由权责主管核准后执行
5. 相关违规纪录,须于机密信息保护委员会报告
6. 若情节重大且影响公司竞争力或财务状况,需立即采取因应措施将损害降到最低