信息安全风险
資訊安全管理委員會組織架構
设置「信息安全管理委员会」,事项协调、规划、稽核及推动统一信息安全管理等。以强化信息安全管理、确保信息的机密性、完整性与可用性、信息设备(包括计算机硬件、软件、外围)与网络系统可靠性及同仁对信息安全之认知,确保上述资源免受任何因素之干扰、破坏、入侵、或任何不利之行为与企图为职责。
资讯安全管理委员会 单位职责
| 单位 | 管理职责 |
|---|---|
| 信息安全管理委员会 | 整合资源及统一信息安全管理等事项之协调、规划、稽核与推动。 |
| 各事业部 | 配合政策执行。 |
| 法务单位 | 提供法律支持,对诉讼及非诉讼事务管理,确保利益不受侵害。 |
| 稽核单位 | 评估信息安全管理制度之执行情形,检查法令规章是否确实遵循并提出改善建议。 |
| 财务单位 | 配合政策执行。 |
| 人事单位 | 信息安全政策倡导及教育训练。 |
| 信息单位 | 规划及执行各项信息安全作业。 |
资讯安全管理执行情形
(一) 提升同仁资安意识,于114年3月、5月及9月发布威胁资安通报与信息安全倡导期刊、114年12月执行邮件社交工程演练及举办全员资安意识提升在线课程,提升警觉性。
(二) 企业外曝资安风险监控,采非侵入式的信息收集技术,透过收集公开数据、网络诱捕机制与威胁情资整合,加上弱点搜索引擎,将所有持续收集的安全风险指标分析,进而帮助企业监控网络风险。
(三) 计算机安全管理
(二) 企业外曝资安风险监控,采非侵入式的信息收集技术,透过收集公开数据、网络诱捕机制与威胁情资整合,加上弱点搜索引擎,将所有持续收集的安全风险指标分析,进而帮助企业监控网络风险。
(三) 计算机安全管理
- 限制用户使用系统平台管理员权限,减少计算机中毒机率、蓄意或无意修改系统设定及因任意安装非法软件、个人软件所衍生的法律责任与公司营运损失。
- 每月进行计算机抽查,稽查项目包含防拆封条检查、确认已安装USB 装置控管程序、确认已安装文件加密软件、所安装之软件均为公司授权、确认已加入公司网域、确认未私自更换或加装零组件等。
(四) 远程联机启用双因素认证登入机制,利用手机App 一次性随机码认证,提升同仁远距办公联机时之便利性与安全性。
(五) 导入全新邮件过滤系统,搭载当红的 AI/ML 技术,可自动阻止复杂度极高、极隐密的恶意攻击,防御日趋严峻的网络钓鱼、恶意软件入侵和 BEC 攻击,打造零死角的邮件防护措施。
(六) 导入信息系统管理员账号双因素登入认证机制,加强重要系统特权账号使用之保护。
(七) 针对内部重要服务器主机进行系统弱点扫描,以确认所管理的设备是否存在漏洞,并执行漏洞修补作业。
(八) 所有服务器主机导入威胁侦测与应变服务(MDR),于黑客恶意软件发动时可立即回应并主动阻断入侵攻击,加强重要系统安全韧性。
(九) 例行性备份还原与备援环境灾难复原演练,确保备份数据、备援环境之可用性。
(十) 实施网络访问控制(NAC)与网络实名管理,避免来路不明或受感染的设备直接进入内部网络,减少资安事件爆发的机率。
(十一)导入网络侦测与响应系统(NDR),监控内部网络使用行为,整合各系统日志至安全信息与事件管理系统(SIEM)进行事件关联,并委由第三方安全营运中心(SOC)进行托管服务,提早监测、预警有风险的网络行为,于资安威胁尚未形成前进行阻断。
(五) 导入全新邮件过滤系统,搭载当红的 AI/ML 技术,可自动阻止复杂度极高、极隐密的恶意攻击,防御日趋严峻的网络钓鱼、恶意软件入侵和 BEC 攻击,打造零死角的邮件防护措施。
(六) 导入信息系统管理员账号双因素登入认证机制,加强重要系统特权账号使用之保护。
(七) 针对内部重要服务器主机进行系统弱点扫描,以确认所管理的设备是否存在漏洞,并执行漏洞修补作业。
(八) 所有服务器主机导入威胁侦测与应变服务(MDR),于黑客恶意软件发动时可立即回应并主动阻断入侵攻击,加强重要系统安全韧性。
(九) 例行性备份还原与备援环境灾难复原演练,确保备份数据、备援环境之可用性。
(十) 实施网络访问控制(NAC)与网络实名管理,避免来路不明或受感染的设备直接进入内部网络,减少资安事件爆发的机率。
(十一)导入网络侦测与响应系统(NDR),监控内部网络使用行为,整合各系统日志至安全信息与事件管理系统(SIEM)进行事件关联,并委由第三方安全营运中心(SOC)进行托管服务,提早监测、预警有风险的网络行为,于资安威胁尚未形成前进行阻断。
(一) 提升同仁资安意识,透过发布信息安全倡导期刊、执行邮件社交工程演练及举办全员资安意识提升在线课程,提升警觉性。
(二) 企业外曝资安风险监控,采非侵入式的信息收集技术,透过收集公开数据、网络诱捕机制与威胁情资整合,加上弱点搜索引擎,将所有持续收集的安全风险指标分析,进而帮助企业监控网络风险。
(三) 计算机安全管理
(二) 企业外曝资安风险监控,采非侵入式的信息收集技术,透过收集公开数据、网络诱捕机制与威胁情资整合,加上弱点搜索引擎,将所有持续收集的安全风险指标分析,进而帮助企业监控网络风险。
(三) 计算机安全管理
- 限制用户使用系统平台管理员权限,减少计算机中毒机率、蓄意或无意修改系统设定及因任意安装非法软件、个人软件所衍生的法律责任与公司营运损失。
- 每月进行计算机抽查,稽查项目包含防拆封条检查、确认已安装USB 装置控管程序、确认已安装文件加密软件、所安装之软件均为公司授权、确认已加入公司网域、确认未私自更换或加装零组件等。
(四) 远程联机启用双因素认证登入机制,利用手机App 一次性随机码认证,提升同仁远距办公联机时之便利性与安全性。
(五) 导入全新邮件过滤系统,搭载当红的 AI/ML 技术,可自动阻止复杂度极高、极隐密的恶意攻击,防御日趋严峻的网络钓鱼、恶意软件入侵和 BEC 攻击,打造零死角的邮件防护措施。
(六) 导入信息系统管理员账号双因素登入认证机制,加强重要系统特权账号使用之保护。
(七) 针对内部重要服务器主机进行系统弱点扫描,以确认所管理的设备是否存在漏洞,并执行漏洞修补作业。
(八) 所有服务器主机导入威胁侦测与应变服务(MDR),于黑客恶意软件发动时可立即回应并主动阻断入侵攻击,加强重要系统安全韧性。
(九) 例行性备份还原与备援环境灾难复原演练,确保备份数据、备援环境之可用性。
(十) 实施网络访问控制(NAC)与网络实名管理,避免来路不明或受感染的设备直接进入内部网络,减少资安事件爆发的机率。
(五) 导入全新邮件过滤系统,搭载当红的 AI/ML 技术,可自动阻止复杂度极高、极隐密的恶意攻击,防御日趋严峻的网络钓鱼、恶意软件入侵和 BEC 攻击,打造零死角的邮件防护措施。
(六) 导入信息系统管理员账号双因素登入认证机制,加强重要系统特权账号使用之保护。
(七) 针对内部重要服务器主机进行系统弱点扫描,以确认所管理的设备是否存在漏洞,并执行漏洞修补作业。
(八) 所有服务器主机导入威胁侦测与应变服务(MDR),于黑客恶意软件发动时可立即回应并主动阻断入侵攻击,加强重要系统安全韧性。
(九) 例行性备份还原与备援环境灾难复原演练,确保备份数据、备援环境之可用性。
(十) 实施网络访问控制(NAC)与网络实名管理,避免来路不明或受感染的设备直接进入内部网络,减少资安事件爆发的机率。
資訊安全軟硬體投資
导入网络侦测与响应系统(NDR)、安全信息与事件管理系统(SIEM)、并委由第三方安全营运中心(SOC)负责24小时监控与告警等,本年度在资安软硬件与服务投入之费用共约新台币4,109仟元。