資訊安全風險
為強化資訊安全管理、確保資訊的機密性、完整性與可用性、資訊設備(包括電腦硬體、軟體、週邊)與網路系統之可靠性以及同仁對資訊安全之認知,並確保上述資源免受任何因素之干擾、破壞、入侵、
或任何不利之行為與企圖,本公司成立「資訊安全管理委員會」,以統一資訊安全管理等事項之協調、
規劃、稽核及推動。
資訊安全管理委員會組織架構
資訊安全管理委員會 單位職責
| 單位 | 管理職責 |
|---|---|
| 資訊安全管理委員會 | 整合資源及統一資訊安全管理等事項之協調、規劃、稽核與推動。 |
| 各事業部 | 配合政策執行。 |
| 法務單位 | 提供法律支援,對訴訟及非訴訟事務管理,確保利益不受侵害。 |
| 稽核單位 | 評估資訊安全管理制度之執行情形,檢查法令規章是否確實遵循並提出改善建議。 |
| 財務單位 | 配合政策執行。 |
| 人事單位 | 資訊安全政策宣導及教育訓練。 |
| 資訊單位 | 規劃及執行各項資訊安全作業。 |
民國111年資訊安全管理執行情形
(一) 為強化資安聯防體系,於今年加入「台灣電腦網路危機處理暨協調中心(TWCERT/CC)」聯盟。
(二) 提升同仁資安意識,透過發布資訊安全宣導期刊及執行郵件社交工程演練,提升警覺性。
(三) 企業外曝資安風險監控,採非侵入式的資訊收集技術,透過收集公開數據、網路誘捕機制與威脅情資整合,加上弱點搜尋引擎,將所有持續收集的安全風險指標分析,進而幫助企業監控網路風險。
(四) 電腦安全管理
(二) 提升同仁資安意識,透過發布資訊安全宣導期刊及執行郵件社交工程演練,提升警覺性。
(三) 企業外曝資安風險監控,採非侵入式的資訊收集技術,透過收集公開數據、網路誘捕機制與威脅情資整合,加上弱點搜尋引擎,將所有持續收集的安全風險指標分析,進而幫助企業監控網路風險。
(四) 電腦安全管理
- 取消使用者具有系統平台管理員權限,減少電腦中毒機率、蓄意或無意修改系統設定及因任意安裝非法軟體、個人軟體所衍生的法律責任與公司營運損失。
- 每月進行電腦抽查,稽查項目包含防拆封條檢查、確認已安裝USB 裝置控管程式、確認已安裝文件加密軟體、所安裝之軟體均為公司授權、確認已加入公司網域、確認未私自更換或加裝零組件等。
(五) 遠端連線啟用雙因素認證登入機制,利用手機App 一次性隨機碼認證,提升同仁遠距辦公連線時之便利性與安全性。
(六) 增購郵件過濾系統進階防禦模組,可進階防禦魚叉式攻擊、匯款詐騙、APT攻擊郵件、勒索病毒以及新型態攻擊等郵件。
(七) 導入資訊系統管理員帳號雙因素登入認證機制,加強重要系統特權帳號使用之保護。
(六) 增購郵件過濾系統進階防禦模組,可進階防禦魚叉式攻擊、匯款詐騙、APT攻擊郵件、勒索病毒以及新型態攻擊等郵件。
(七) 導入資訊系統管理員帳號雙因素登入認證機制,加強重要系統特權帳號使用之保護。