資訊安全風險

資訊安全風險

設置「資訊安全管理委員會」,事項協調、規劃、稽核及推動統一資訊安全管理等。以強化資訊安全管理、確保資訊的機密性、完整性與可用性、資訊設備(包括電腦硬體、軟體、週邊)與網路系統可靠性及同仁對資訊安全之認知,確保上述資源免受任何因素之干擾、破壞、入侵、或任何不利之行為與企圖為職責。

資訊安全管理委員會 單位職責

單位 管理職責
資訊安全管理委員會 整合資源及統一資訊安全管理等事項之協調、規劃、稽核與推動。
各事業部 配合政策執行。
法務單位 提供法律支援,對訴訟及非訴訟事務管理,確保利益不受侵害。
稽核單位 評估資訊安全管理制度之執行情形,檢查法令規章是否確實遵循並提出改善建議。
財務單位 配合政策執行。
人事單位 資訊安全政策宣導及教育訓練。
資訊單位 規劃及執行各項資訊安全作業。

資訊安全管理執行

(一) 為強化資安聯防體系,於今年加入「資安長聯誼會」聯盟,橫向加強同產業間之資安聯防與交流。
(二) 提升同仁資安意識,透過發布資訊安全宣導期刊及執行郵件社交工程演練,提升警覺性。
(三) 企業外曝資安風險監控,採非侵入式的資訊收集技術,透過收集公開數據、網路誘捕機制與威脅情資整合,加上弱點搜尋引擎,將所有持續收集的安全風險指標分析,進而幫助企業監控網路風險。
(四) 電腦安全管理
  1. 限制使用者使用系統平台管理員權限,減少電腦中毒機率、蓄意或無意修改系統設定及因任意安裝非法軟體、個人軟體所衍生的法律責任與公司營運損失。
  2. 每月進行電腦抽查,稽查項目包含防拆封條檢查、確認已安裝USB 裝置控管程式、確認已安裝文件加密軟體、所安裝之軟體均為公司授權、確認已加入公司網域、確認未私自更換或加裝零組件等。
(五) 遠端連線啟用雙因素認證登入機制,利用手機App 一次性隨機碼認證,提升同仁遠距辦公連線時之便利性與安全性。
(六) 導入郵件過濾系統進階防禦模組,可進階防禦魚叉式攻擊、匯款詐騙、APT攻擊郵件、勒索病毒以及新型態攻擊等郵件。
(七) 導入資訊系統管理員帳號雙因素登入認證機制,加強重要系統特權帳號使用之保護。
(八) 建構SAP ERP 系統之雲端備援環境,加強系統之安全性與可用性。
(九)所有伺服器主機導入威脅偵測與應變服務(MDR),於駭客惡意程式發動時可立即回應並主動阻斷入侵攻擊,加強重要系統安全韌性。
(十)針對內部重要伺服器主機進行系統弱點掃描,以確認所管理的設備是否存在漏洞,並執行漏洞修補作業。
(十一)重新建構備份系統,並實施雲端異地備份、防竄改等備份功能,確保備份資料之安全性與可用性。
(一) 為強化資安聯防體系,於今年加入「台灣電腦網路危機處理暨協調中心(TWCERT/CC)」聯盟。
(二) 提升同仁資安意識,透過發布資訊安全宣導期刊及執行郵件社交工程演練,提升警覺性。
(三) 企業外曝資安風險監控,採非侵入式的資訊收集技術,透過收集公開數據、網路誘捕機制與威脅情資整合,加上弱點搜尋引擎,將所有持續收集的安全風險指標分析,進而幫助企業監控網路風險。
(四) 電腦安全管理
  1. 取消使用者具有系統平台管理員權限,減少電腦中毒機率、蓄意或無意修改系統設定及因任意安裝非法軟體、個人軟體所衍生的法律責任與公司營運損失。
  2. 每月進行電腦抽查,稽查項目包含防拆封條檢查、確認已安裝USB 裝置控管程式、確認已安裝文件加密軟體、所安裝之軟體均為公司授權、確認已加入公司網域、確認未私自更換或加裝零組件等。
(五) 遠端連線啟用雙因素認證登入機制,利用手機App 一次性隨機碼認證,提升同仁遠距辦公連線時之便利性與安全性。
(六) 增購郵件過濾系統進階防禦模組,可進階防禦魚叉式攻擊、匯款詐騙、APT攻擊郵件、勒索病毒以及新型態攻擊等郵件。
(七) 導入資訊系統管理員帳號雙因素登入認證機制,加強重要系統特權帳號使用之保護。

資訊安全軟硬體投資

導入MDR 威脅偵測與應變服務、系統弱點掃描服務、建構ERP系統雲端備援環境、重新建構備份系統等,本年度在資安軟硬體與服務投入之費用共約新台幣4,359仟元。

導入郵件過濾系統進階防禦模組(ADM)、SecurityScorecard、特權帳號多因素認證系統等,在資安軟硬體與服務投入之費用共約新台幣2,169仟元。

導入F5 Networks遠端連線設備及郵件過濾系統增購防毒模組,相關導入與建置費用共約新台幣1,352仟元。

arrow_upward