資訊安全風險
資訊安全管理委員會組織架構
設置「資訊安全管理委員會」,事項協調、規劃、稽核及推動統一資訊安全管理等。以強化資訊安全管理、確保資訊的機密性、完整性與可用性、資訊設備(包括電腦硬體、軟體、週邊)與網路系統可靠性及同仁對資訊安全之認知,確保上述資源免受任何因素之干擾、破壞、入侵、或任何不利之行為與企圖為職責。
資訊安全管理委員會 單位職責
| 單位 | 管理職責 |
|---|---|
| 資訊安全管理委員會 | 整合資源及統一資訊安全管理等事項之協調、規劃、稽核與推動。 |
| 各事業部 | 配合政策執行。 |
| 法務單位 | 提供法律支援,對訴訟及非訴訟事務管理,確保利益不受侵害。 |
| 稽核單位 | 評估資訊安全管理制度之執行情形,檢查法令規章是否確實遵循並提出改善建議。 |
| 財務單位 | 配合政策執行。 |
| 人事單位 | 資訊安全政策宣導及教育訓練。 |
| 資訊單位 | 規劃及執行各項資訊安全作業。 |
資訊安全管理執行
(一) 提升同仁資安意識,透過發布資訊安全宣導期刊、執行郵件社交工程演練及舉辦全員資安意識提升線上課程,提升警覺性。
(二) 企業外曝資安風險監控,採非侵入式的資訊收集技術,透過收集公開數據、網路誘捕機制與威脅情資整合,加上弱點搜尋引擎,將所有持續收集的安全風險指標分析,進而幫助企業監控網路風險。
(三) 電腦安全管理
(二) 企業外曝資安風險監控,採非侵入式的資訊收集技術,透過收集公開數據、網路誘捕機制與威脅情資整合,加上弱點搜尋引擎,將所有持續收集的安全風險指標分析,進而幫助企業監控網路風險。
(三) 電腦安全管理
- 限制使用者使用系統平台管理員權限,減少電腦中毒機率、蓄意或無意修改系統設定及因任意安裝非法軟體、個人軟體所衍生的法律責任與公司營運損失。
- 每月進行電腦抽查,稽查項目包含防拆封條檢查、確認已安裝USB 裝置控管程式、確認已安裝文件加密軟體、所安裝之軟體均為公司授權、確認已加入公司網域、確認未私自更換或加裝零組件等。
(四) 遠端連線啟用雙因素認證登入機制,利用手機App 一次性隨機碼認證,提升同仁遠距辦公連線時之便利性與安全性。
(五) 導入全新郵件過濾系統,搭載當紅的 AI/ML 技術,可自動阻止複雜度極高、極隱密的惡意攻擊,防禦日趨嚴峻的網路釣魚、惡意軟體入侵和 BEC 攻擊,打造零死角的郵件防護措施。
(六) 導入資訊系統管理員帳號雙因素登入認證機制,加強重要系統特權帳號使用之保護。
(七) 針對內部重要伺服器主機進行系統弱點掃描,以確認所管理的設備是否存在漏洞,並執行漏洞修補作業。
(八)所有伺服器主機導入威脅偵測與應變服務(MDR),於駭客惡意程式發動時可立即回應並主動阻斷入侵攻擊,加強重要系統安全韌性。
(九)例行性備份還原與備援環境災難復原演練,確保備份資料、備援環境之可用性。
(五) 導入全新郵件過濾系統,搭載當紅的 AI/ML 技術,可自動阻止複雜度極高、極隱密的惡意攻擊,防禦日趨嚴峻的網路釣魚、惡意軟體入侵和 BEC 攻擊,打造零死角的郵件防護措施。
(六) 導入資訊系統管理員帳號雙因素登入認證機制,加強重要系統特權帳號使用之保護。
(七) 針對內部重要伺服器主機進行系統弱點掃描,以確認所管理的設備是否存在漏洞,並執行漏洞修補作業。
(八)所有伺服器主機導入威脅偵測與應變服務(MDR),於駭客惡意程式發動時可立即回應並主動阻斷入侵攻擊,加強重要系統安全韌性。
(九)例行性備份還原與備援環境災難復原演練,確保備份資料、備援環境之可用性。
資訊安全軟硬體投資
導入全新郵件過濾系統,擴充本地與異地備份空間增加可靠性等,本年度在資安軟硬體與服務投入之費用共約新台幣3,992仟元。
導入MDR威脅偵測與應變服務、系統弱點掃描服務、建構ERP系統雲端備援環境、重新建構備份系統等,本年度在資安軟硬體與服務投入之費用共約新台幣5,235仟元。
導入郵件過濾系統進階防禦模組(ADM)、SecurityScorecard、特權帳號多因素認證系統等,在資安軟硬體與服務投入之費用共約新台幣2,169仟元。
導入F5 Networks遠端連線設備及郵件過濾系統增購防毒模組,相關導入與建置費用共約新台幣1,352仟元。