一、組織
為強化本公司之資訊安全管理、確保資料、系統及網路安全,本集團設有資安專責單位,包含資安專責主管及資安人員各一人,負責資通安全事務的規劃與執行。
資安專責單位每年至少一次於董事會中報告重大議題或規劃(113年已於113/11/12向董事會報告)。
二、資通安全政策
- 本公司為強化資訊安全風險管理,確保資料、系統、設備及網路安全,特訂定本政策。
本政策所稱資訊安全,係指確保本公司資訊處理之正確性,作業人員所使用之電腦軟體、硬體、週邊及網路系統之可靠性,並確保上述資源免受干擾、破壞、入侵之行為或企圖。 - 為防範電腦病毒之侵襲,本公司購買合法防毒軟體,並定時更新相關病毒碼及掃毒引擎。為有效推行資訊安全工作。
- 各單位如發生資通安全事件,應即通報資訊單位處理,並由資訊單位緊急事件危機處理,本公司已加入TWCERT/CC (台灣電腦網路危機處理暨協調中心),發生資安事故時得緊急通報並獲得相關資源協助,並獲得資訊安全訊息及資源。
- 本政策應符合相關法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。
三、資通安全之具體管理方案
1.資訊系統架構對資通安全己完成幾項改進:
- 購置新Firewall重新調整架構,汰舊款,無支援應用層防護,加強防護效能。
- 依網路服務需要區隔獨立的邏輯網域,且針對不同作業環境建立適當之資安防護控制措施。
- 更新資料備份機制,提供對各系統全面性快速還原,提高復原時間。
2.本年度訂定之預計加強計畫:
- 訂定進行落點掃描及滲透掃描之進階持續性防禦措施,對加密勒索威脅偵測與防堵、發掘「未知」惡意程式等。
- 網路服務防禦措施,能夠自動蒐集全網資產並制定安全管理政策,可即時阻斷違規設備。
- 社交工程演練,員工資安意識強化是需要長時間持續訓練與輔導的,提升員工資安意識,避免遭受駭客入侵。
- 加強復原應變運作機制,鑑別可能造成營運中斷事件之發生機率及影響程度,並明確訂定核心業務之復原時間目標(RTO)及資料復原時間點目標(RTO),設置適當之備份機制及備援計畫。
四、資通安全資源投入
資訊安全占資訊總預算占比:
%
2023資安預算占比
%
2024資安預算占比
五、備援、災害復原計劃及緊急通報流程
1.備援計劃與災難復原計畫
本集團於發生資通安全事件時,應依資安事件通報機制相關規定即時通報及應變,迅速完成損害控制或復原作業,降低資通安全事件對各單位業務之衝擊影響,並確保資通安全事件發生時之跡證保存,減輕事件影響資訊安全管理政策及措施 並快速恢復正常服務。
公司備援與災難復原執行率:
%
備份321執行率
%
災難復原還原率
本公司有完備的資安事件處理流程,並加入資安聯防組織TWCERT/CC(台灣電腦網路危機處理暨協調中心),發生資安事件啟動通報機制並與聯防單位回報協防。
2.資安事件通報流程: