資訊安全政策及管理方案
資訊安全管理
資通安全風險管理架構
- 本公司資訊安全之權責單位為資訊部,該部設置資訊主管乙名,專責的資安人員乙名與專業資訊人員數名,負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實,並定期向永續發展委員會及董事會報告公司資安治理概況,近期報告日期為2023年3月14日。
- 本公司稽核室為資訊安全監理之督導單位,該室設置稽核主管與專職稽核人員,負責督導內部資安執行狀況,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
- 組織運作模式-採 PDCA(Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善。
資通安全政策及具體管理方案
本公司資通安全管理機制,包含以下三個面向:
(一)制度規範:訂定公司資訊安全管理制度,規範人員作業行為。
(二)科技運用:建置資訊安全管理設備,落實資安管理措施。
(三)人員訓練:進行資訊安全教育訓練,提升全體同仁資安意識。
(一)制度規範:訂定公司資訊安全管理制度,規範人員作業行為。
(二)科技運用:建置資訊安全管理設備,落實資安管理措施。
(三)人員訓練:進行資訊安全教育訓練,提升全體同仁資安意識。
管理措施說明如下:
- 制度規範:
台灣東洋內部訂定多項資安規範與制度,以規範本公司人員資通安全行為,每年定期檢視相關制度是否符合營運環境變遷,並依需求適時調整,具體實施項目說明如下:
(1) 落實台灣智慧財產管理規範:
台灣東洋為強化智財管理,自2015年導入台灣智慧財產管理規範(Taiwan Intellectual Property Management System,簡稱 TIPS),每年定期執行內部稽核,每2年執行外部稽核,以強化本公司機密資料之作業管理。2022年取得經濟部工業局TIPS 認證,證書有效期間至2024年12月31日。
(2) 提升營業秘密管理措施:
台灣東洋為提升內部營業秘密管理,於2020年協同資安顧問公司進行營業秘密盤點,檢視和優化內部管理制度,針對各層級之營業秘密資料實施不同的管控措施,確保營業秘密資料之使用、傳輸和保存安全無虞。
(3) 定期執行資安風險評鑑:
台灣東洋遵從ISO 27005風險評鑑原則,定期實施內部資安風險評鑑,根據資訊資產價值、弱點、威脅與影響性,分析內部風險水平,並以此風險評鑑結果制定安全措施強化項目,精進且提升整體資通安全環境。
- 科技運用:
台灣東洋為防範各種外部資安威脅,除採多層式網路架構設計外,更建置各式資安防護系統,以提升整體資訊環境之安全性。此外,為確保內部人員之作業行為符合公司制度規範,亦設計作業程序和導入資安系統工具,落實人員資通安全管理措施。具體實施項目如下:
(1) 外部威脅
台灣東洋為防範外部駭客入侵與電腦病毒威脅,除建置防火牆、防毒 / 防勒索系統等資通安全系統外,亦透過弱點掃描發掘系統潛在弱點與漏洞,並予以修補改善。
(2) 權限管理
台灣東洋採最小權限原則管理內部系統與資料之存取權限,人員無法使用非經授權之系統功能,亦無法檢視非職務所需之系統資料。此外,為確保權限配置妥當,每年定期執行權限盤點作業,審視人員與系統之權限配置之正確性。
(3) 存取控管
台灣東洋為強化系統存取控管機制,除透過多層式網路架構管理不同用途之系統、限制外部存取之連線方式外,另配有資訊行為監管系統,記錄人員的資訊行為歷程,自動偵測異常存取行為,並即時通報管理人員進行處置。
(4) 系統可用性
台灣東洋為確保內部系統運作之穩定性,和縮短系統異常之服務中斷時間,內部具有可用性監控系統,24小時自動偵測系統之運作狀態,於系統異常時自動通報人員處理。此外,亦根據資訊系統重要程度建立相應之備份備援機制、異地備援措施,每年定期執行災害復原演練,確保備援機制運作正常。
- 人員訓練:
台灣東洋每季定期實施新進人員資通安全教育訓練實務課程,並建置數堂線上學習(E-Learning)資通安全課程,藉以提升內部人員資安知識與專業技能,2022年受訓之新進人員全數通過測驗,一般員工100%全部完成線上課程閱讀並通過考試。
投入資通安全管理之資源
在後疫情時代,全球企業仍然不斷遭受駭客以不同的入侵手法攻擊,台灣東洋資安防護策略也應予以調整,因應此發展趨勢,我們將從以下幾大重要方向進行整體的規劃,其執行細節說明如下:
在後疫情時代,全球企業仍然不斷遭受駭客以不同的入侵手法攻擊,台灣東洋資安防護策略也應予以調整,因應此發展趨勢,我們將從以下幾大重要方向進行整體的規劃,其執行細節說明如下:
- 機房安全
為了機房主機及檔案伺服器存取控管安全性,在2022年完成建置超融合主機架構及專業級的檔案伺服器解決方案,以期建立更即時、彈性及完善的備援機制,來因應本公司營運不斷成長的需求。 - 外部連線存取
為了避免因人員因使用VPN服務而造成帳號密碼外洩,導致駭客入侵的威脅,在人員的識別及認證部份,已啟用多因素認證因子機制來加以強化,以提高連線存取安全性。 - 內部網路控管
根據國內資安機構的安全報告,有80%的入侵及威脅來自內部網路的使用行為不當,有鑑於此,公司已導入知名的內網安全監控產品,有效過濾內部網路每一台連線的端點設備,在非經授權的設備是無法存取內部網路,避免勒索病毒的入侵威脅,以確保公司網路使用的安全性。 - 專業資安檢測
為了降低系統漏洞攻擊風險,除了保持主機系統更新至最新版本外,公司亦定期針對重要主機進行弱點掃描檢測,並依檢測結果執行相關弱點修復,以降低駭客透過弱點入侵系統之風險。 - 落實預防演練
每年定期執行本地、異地備援還原演練,針對重要主機系統環境與資料建立自動備份和備援機制,確保人員於災害發生能順利恢復系統運作。 - 人員資安意識
透過不定期的資安講座及邀請外部專家進行個案分享,並搭配線上資安訓練課程與課後測驗,讓人員可以掌握最新的資安訊息,以提高風險意識。
除了上述資安管理重點方向外,台灣東洋亦著手針對國際規範ISO 27001進行評估導入的可能性,透過其嚴謹制度來完整化公司的作業程序,並朝向通過驗證的目標及接軌國際規範。預計於2023年導入社交工程演練,提升東洋從業人員資訊安全意識。
資安事件通報程序
本公司資通安全通報程序如下,資安事故之通報與處理,皆遵守該程序之規範進行。
本公司資通安全通報程序如下,資安事故之通報與處理,皆遵守該程序之規範進行。