資訊安全政策

資訊安全總體目標:「資訊安全、全體動員」。
持續針對資訊安全精進治理制度與強化防衛能力,所有資訊作業除了符合國際資安標準外,更符合國內外資訊安全法令法規。

◆資訊安全治理架構

為提升資訊安全管理,資訊部負責訂定集團(含子公司)資訊安全政策、規劃、執行、推動與落實,以降低資安風險及提升同仁良好的資訊安全意識,並向董事會報告資安治理概況。


◆資訊安全組織運作模式


◆資訊安全管理機制

資安策略主軸聚焦資安治理、法令遵循及科技運用三個面向,從制度到科技,從人員到組織,全面性提升資安防護能力。 有鑑於目前資安新興趨勢,如DDoS攻擊、勒索軟體、社交工程攻擊、釣魚網站等,每年與國際資安廠商交流,透過專案合作的方式,定期關注資安議題並規劃因應措施,進行資訊系統的還原及防護演練,強化處理人員的應變能力,以期在第一時間即偵測到並完成處置。 為強化資訊安全管理,內部落實政策執行、嚴密網路控管機制及建立各類型的檢測系統,提早發現問題並進行修補程序。

資安策略
資安治理 ● 精進管理制度
● 掌握風險及強化防範
● 打造聯防體系
持續精進管理制度,包括強化教育訓練、資訊安全基礎架構設計。
法令遵循 ● 定期檢視/修訂
● 建立合規循環機制
建立合規法令法規循環機制,並其檢視及修訂內部作業規範,以符合國際資安標準。
科技運用 ● 內外部資料收集
● 異常資訊警示
收集訊息,異常警示,第一時間進行應變處置。

◆具體作法

1. 每半年檢視資訊安全政策,視情況修訂。
    2019年9月增訂「資安政策作業程序書」及「連網設備資訊安全作業程序書」
2. 除了新人訓練每年安排一次會議對全公司人員進行資安宣導,並不定期公告宣導資安訊息
    2019年9月17日進行全公司資安政策宣導
3. 每年安排災難還原演練計劃,確保在最短時間進行回復
4. 2019年加入中華電信資安服務,增強對外防護
5. 2018年進行設備聯網作業,使用防火牆進行區隔管理,
    2019年進行設備聯網資安評估規劃;
    將於2020年加強設備聯網的資安建置及既有資安系統。

◆資訊安全管理機制

發展良好的資訊服務流程管理,從需求管理、事件管理及問題管理各方面,輔以安全管理機制,持續控管風險。透過定義公司資訊服務的目錄及對應的處理程序,將營運所面臨的事件及問題加以標準化管理,且因應需求申請與變更,建立持續降低風險之循環,並累積知識文件,提升處理的時效與正確性。

◆資訊安全事件通報機制