確保公司機密資訊、相關營業秘密與個人資料,能受到妥善的保護,並持續強化資訊安全防護能力。相關資訊作業除了遵行國際資安標準外,更要能符合國、內外相關法令規範。
資訊安全管理架構
機密資訊保護委員會:
由各部門代表組成,負責全公司的機密資訊管制作業之研議、建置、稽核與推動事項。每季定期召開會議,討論相關議題。並推動相關機密資訊保護作業,包括:
- 每季定期進行查核活動,以確保公司的機密資訊保護措施的落實
- 透過日常工作與各種場合,宣導機密資訊的觀念與遵守事宜。
- 落實員工的教育訓練,提高員工資安意識與能力。除了將機密資訊管制相關內容,列為新進人員的必訓課程外,每年所有員工均必須進行複訓,以期能不斷強化與提升員工資安意識
個人資料保護委員會:
為使本公司對於個人資料的保護與管理有所遵循,降低營運風險,並能符合國際相關個資保護規範,成立該委員會,以落實資料保護,並積極推動相關個人資料保護作業,包括:
- 制定個人資料保護辦法與推行各項行動
- 評估個人資料風險,建立管理機制
- 建立事故的預防、通報及應變措施
- 進行認知宣導與教育訓練
- 建立稽核機制,監督個人資料維護的持續改善
資訊安全防護
本公司實施之資訊安全管理措施,包含如下:
| 類型 | 說明 | 機制 |
| 帳號與密碼保護 | 強化個人密碼品質與強制變更,以保護帳號安全性,避免被盜用 | 強制密碼設定品質與密碼定期變更機制 強制雙因子認證機制 |
| 人員帳號權限管理 | 有效控管使用者的帳號與權限、移除非必要的帳號與授權,並定期審視使用者相關系統的使用權限 |
每日自動清查異常帳號 |
| 存取控制 | 控管相關資訊系統的存取,並能有效紀錄與審核使用紀錄 | 定期審核存取紀錄 定期審核遠端存取紀錄 |
| 網路控管 | 避免非法存取,並過存取控管,避免交互攻擊/感染 | 資訊設備連網控管 網路切割與平行存取控管 |
| 駭客防治 | 找出系統潛在弱點、攻擊來源,採取預防與因應機制 | 定期進行系統弱點掃描與更新 定期進行病毒掃描 Email 沙箱檢測隔離釣魚信件 設置誘餌系統並與內部防火牆連動 即時隔離可能的入侵者 |
| 系統可用性 | 確保系統的可用性與可靠度,並降低異常中斷時間,減少對公司的影響 | 定期進行系統異常演練 系統備援機制的建立與強化 |
| 洩密防範 | 避免機密資訊外洩 | 定期審核外寄信件 高風險人員使用紀錄審核 不定期 spot-check 機密查核機制 |
強化內部管理與IT自動化系統以保護機密資料
Hacking ➔ WAN
- 定期弱點掃瞄並佈署入侵偵測系統
- 內網多重防火牆
- 交換機端口隔離
- 反向釣魚誘餌系統
- Email沙箱
Illegal External Computer ➔ LAN
- 系統主動阻斷未授權的設備接入公司內網
Server
- 強制密碼與雙因子認證防範未授權的存取
- 定期權限與存取紀錄確保帳號權限有效性
End Point
- 主動阻斷移動式儲存媒體接入公司電腦
- 公司電腦以硬體鎖防止私人HDD接入
- Portable Router 系統自動阻斷公司電腦連結非公司網路路由器
資安事件通報程序
本公司資通安全通報程序如下,資安事故之通報與處理,皆遵守該程序之規範進行。
1. 機密資訊保護委員會委員直接舉報或是同仁發現資安事件,跟委員或申訴信箱舉報
2. 由機密資訊保護委員會委員與人事部門組成調查小組,調查與確認違規事項,並出具改善措施與違規處理報告書
3. 後續追蹤與查核當事人改善情形,並通知當事人主管,要求善盡督導之責
4. 針對需懲處個案,由權責主管核准後執行
5. 相關違規紀錄,須於機密資訊保護委員會報告
6. 若情節重大且影響公司競爭力或財務狀況,需立即採取因應措施將損害降到最低