- 資通安全政策
(一)資通安全風險管理架構
本公司資訊安全之權責單位為資訊安全處(處級),負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實,並定期向董事?及總經理報告公司資安治理概況。
本公司稽核處為資訊安全監理之查核單位,該室設置稽核主管,負責查核內部資安執行狀況,若有查核發現缺失,隨即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
(二)資通安全政策及具體管理方案
1.本公司訂定資訊安全政策目標為確保資訊的機密性、完整性和可用性。
(1)機密性-Confidentiality:確保只有經授權的人才可以取得資訊,
避免資訊洩露。
(2)完整性-Integrity:確保資訊不受未經授權的竄改與資訊處理方法的
正確性。
(3)可用性-Availability:確保經授權的使用者,在需要時可以取得資訊,
並使用相關資產。
除了以上 3 項基本原則外,尚有以下幾點要素:
(1)驗證性-Authenticity:確保使用者登入時有適當的驗證程序。
(2)可歸責性-Accountability:確保使用者執行任何動作均有適當的軌跡
可追蹤至執行者。
(3)不可否認性-Non-repudiation:確保使用者無法否認於系統上完成
的作業。
(4)可靠性-Reliability:確保作業執行皆有一致結果。
2.資訊安全具體管理方案
項目
執行現況
人員安全管理及教育訓練
n 公司員工網站不定期公告資訊安全文章。
n 不定期使用E-Mail發送資訊安全公告。
n 新進同仁一律執行資訊安全宣導。
電腦系統安全管理
n 定期變更員工登入電腦帳號之密碼。
n 電腦及伺服器皆安裝合法企業版防毒軟體,並每日更新病毒防護碼。
n 員工電腦及系統主機皆安裝合法授權軟體,作業系統定期修補微軟公佈的漏洞修補程式。
n 員工電腦皆有安裝X-fort防水牆紀錄電腦使用紀錄,嚴格控管USB&CD等可攜式儲存媒體寫出/燒錄公司內部資料,控管筆電攜出辦公室之使用行為。
n 員工上網皆需經過上網行為管理設備,過濾惡意及不適宜網頁內容,提高工作效率,防止企業機敏資料經網路上傳至外部雲端空間。
n 使用電子郵件稽核系統,加強外寄郵件內容及附件檔案之機敏資料控管。
n 重要文件皆加密存放於文管系統,依照機密等級及業務需求適度開放存取權限。
網路安全管理
n 網路做實體控管,禁止非公司認可之外來資訊設備存取企業內部網路。
n 來賓使用網路與企業內部網路實體切開以確保資訊及系統安全。
n 員工上網皆需經過上網行為管理設備,阻擋惡意及不適宜網頁內容,提高工作效率。
n 架設防火牆區隔企業內部及外部網路,搭配防入侵偵測系統阻擋網路攻擊和避免未經授權的存取,以確保企業內部網路的安全。
n 對外提供服務的企業網站前端架設網站應用程式防火牆(WAF),加強企業網站的安全保護,阻擋OWASP常見漏洞,免於駭客攻擊。
n 每年固定請廠商針對網路服務做資安弱點掃描並修補重大漏洞。
系統存取管理
n 員工於外部存取內部資料皆需經過VPN或Citrix系統,上述權限皆需經過申請並視業務需求適度開放。
n 導入資料庫稽核系統,針對重要的資料庫完整留存資料庫活動細節及行為軌跡。
伺服器安全管理
n 重要資訊系統及檔案伺服器皆每日做資料備份,並固定時間針對ERP/郵件/網路等重要系統做災難復原演練。
n 伺服器及核心路由器皆建置硬體容錯機制,避免硬體損壞影響資訊系統運作。
n 資訊機房架設UPS及環境監控系統,針對電力/溫濕度/消防….等做嚴密監控,遇有異常狀況經由簡訊及電子郵件通知機房管理者以排除狀況。
(三)資通安全通報
1.資通安全異常通報作業
(1)資通安全異常事件之定義:
A.內部危害事件:疑似遭人為惡意破壞毀損、作業不慎等事件。
B.外力入侵事件:疑似電腦病毒感染事件…等事件。
C.天然災害:颱風、水災、地震等。
D.突發事件:火災、爆炸、重大建築災害及資訊網路系統骨幹(主幹寬頻)中斷事件等。
E.設備故障事件:如:主機設備故障等。(2)資訊異常事件對機密性、完整性及可用性之影響層級區分:
影響層級
資通異常事件分類
性質
低
中
高
資通異常事件1
內部危害事件:疑似遭人為惡意破壞毀損、作業不慎等事件。
機密性
公司非機密資料遭洩漏。
公司敏感性資料遭洩漏。
公司機密性資料遭洩漏。
資通異常事件2
外力入侵事件:疑似電腦病毒感染事件…等事件。
完整性
公司非核心業務及機密資料遭竄改。
公司核心業務系統或資料遭輕微竄改。
公司核心業務系統或資料遭嚴重竄改。
資通異常事件3
天然災害:颱風、水災、地震等。
可用性
公司非機密系統或資料運作遭影響或短暫停頓。
公司核心業務運作遭影響或系統效率降低,於可容忍中斷時間內回復正常運作。
公司核心業務運作遭影響或系統效率降低,無法於可容忍中斷時間內回復正常運作。
資通異常事件4
突發事件:火災、爆炸、重大建築災害及資訊網路系統骨幹(主幹寬頻)中斷事件等。
資訊異常事件5
設備故障事件:如:主機設備故障。
2. 通報程序 Procedure
(1)疑似資通異常事件發生時,發現人員應以電話通知資訊安全單位。
(2)相關資訊人員初步判斷是否為資通異常事件原因:
A.判定為非資通異常事件時,則將結果回覆予發現人員。
B.判定為資通異常事件時,初估事件處理時間,將判斷的結果先以電話向資訊安全主管報告,並持續報告處理狀況,e-mail公告通知各單位同仁,並啟動異常通報流程。
(3)依資通異常事件1~5且影響層級屬(低):呈報至部主管,由資訊安全處主管啟動會議,並研商處理方式後,並呈報部主管調查結果及建議方案,由部主管裁示後執行之。
(4)依資通異常事件1~5且影響層級屬(中)、依資通異常事件3~5且影響層級屬(高):呈報至總經理,由部主管成立小組內部進行調查,並呈報總經理調查結果及建議方案,由總經理裁示後執行之。
(5)依資通異常事件1~2且影響層級屬(高):除應立即呈報至董事長外並向警察機關報案,由董事長視情形指派專人,資訊單位成立專案小組協助配合警方調查,並呈報調查結果,由董事長裁示後執行之。(四)資通安全風險與因應措施
1.資訊技術安全之風險及管理措施:
本公司已建立全面的網路與電腦相關資安防護措施,但無法保證其控管或維持公司製造營運及會計等重要企業功能之電腦系統能完全避免來自任何第三方癱瘓系統的網路攻擊。
這些網路攻擊以非法方式入侵內部網路系統,進行破壞公司之營運及損及公司商譽等活動。在遭受嚴重網路攻擊的情況下,系統可能會失去公司重要的資料,生產線也可能因此停擺。
網路攻擊也可能企圖竊取公司的營業祕密及其他機密資訊,例如客戶或其他利害關係人的專有資訊以及員工的個資。
惡意的駭客亦能試圖將電腦病毒、破壞性軟體或勒索軟體導入公司的網路系統,以干擾公司的營運、對公司進行敲詐或勒索,取得電腦系統控制權,或窺探機密資訊。
上述這些攻擊可能導致公司因延誤或中斷訂單而需賠償客戶的損失;或需擔負龐大的費用實施補救和改進措施,以加強公司的網路安全系統;也可能使本公司因涉入公司對其有保密義務之員工、客戶或第三方資訊外洩而導致的相關法律案件或監管調查,而承擔重大法律責任。
透過持續檢視和評估其資訊安全規章及程序,以確保其適當性和有效性,但不能保證公司在瞬息萬變的資訊安全威脅中不受推陳出新的風險和攻擊所影響。2. 112年度投入資通安全管理情形
(1)設置資訊安全主管1名及專責人員1名。
(2)參與1次外部資安教育訓練/研討會,提昇人員之資安職能。
(3)112年加入台灣電腦網路危機處理暨協中心(TWCERT),不定期接收威脅情資,及時修補具威脅之弱點。
(4)每年定期進行資安內部與外部稽核。
(5)建置資安宣導專區,不定期資訊安全宣導,加強員工對於資訊安全風險之應變與警覺性。
(6)執行ERP/郵件/網路等系統做災難還原測試1次。
(7)每年維護廠商配合執行弱掃作業並修補中高風險,以確保系統安全性。
(8)教育訓練:新進員工入職時皆需先進行電子郵件及資訊安全相關基本訓練,以確保資安觀念融入日常作業中。
(9)辦公所使用之個人電腦皆安裝防毒軟體,並定期進行系統更新與病毒碼更新以降低駭客攻擊之風險及勒索病毒之危害。
(10)嚴格控管檔案對外傳輸管道,包含可攜式設備(如USB)、雲端硬碟、檔案傳輸協定(FTP)及郵件寄送機制等。
