資訊安全風險管理架構
公司治理 > 資訊安全風險管理架構
  • 資訊安全風險管理架構
  • 資訊安全政策
  • 資訊安全具體管理方案

資訊安全風險管理架構

本公司資訊安全之權責單位為資訊處,負責規劃、執行及推動資訊安全管理事項,並定期透過教育訓練提升人員資訊安全意識。

本公司每年接受內、外部稽核,若查核發現缺失立即排定改善計畫,降低內部資安風險。

本公司組織運作模式–採 PDCA(Plan - Do - Check - Act)循環式管理,以確保可靠度目標之達成,進而促使本公司資安持續改善。

本年度資訊架構改善成果已於112年12月26日第14屆第10次董事會報告在案。

112年完成計畫 113年預定執行計畫

本公司所有網路活動均受資安中心24小時持續偵測保護,並設立資安事件通報流程如下 :

網管人員針對資安事件判定分級表
級別 資料與資料庫 伺服器設備/個人設備 網路設備 程控設備
第三級 影響多廠區或集團運作 第三級由各二級單位向上通報至總經理
第二級 影響單一廠區
第一級 影響個人設備或小辦公區域

通報層級與核定機制 :
一、 程控設備資訊安全風險皆列為第三級管控程序,由各二級單位向上通報至 總經理,其餘事件通報如下列第二點。

二、網管人員接獲通報後一律通報資訊主管,並依事件等級通報如下 :

第一級 : 由網管人員通報個人與相關二級主管。

第二級 : 由資訊主管通報一級主管。

第三級 : 由資訊主管通報至總經理,或通報集團 F35 窗口。




資訊安全政策

第一條

本公司為強化資訊安全管理,建立安全及可信賴之作業環境,確保資料、系統、相關網路環境與設備安全,保障客戶權益,並依公開發行公司建立內部控制制度處理準則第8條、第9條、第13條規範,特訂定本政策以作為實施各項資訊安全措施之依據。

第二條

本政策適用於本公司所有員工、約聘僱人員、顧問、委外廠商及訪客(以下簡稱全體人員)。

第三條

本公司將依下列原則致力於各項作業安全,以降低資安風險及保障客戶權益:

  • (一)進行各項作業時,應遵循主管機關頒布之各種法令及本公司相關之規定辦理。
  • (二)工作分派應考量職能分工,職務責任範圍應予區分,以避免資訊或服務遭未授權修改或誤用。
  • (三)任用資訊安全相關工作或處理機密資訊人員前應進行個人安全背景調查。為規範員工對其所保管及使用資訊保密之目的,應要求員工(包括約聘僱人員)簽訂保密切結書。
  • (四)協力廠商、委外廠商及顧問於業務性質有必要時,本公司得要求其簽訂保密切結書。
  • (五)所有員工有義務保護本公司機密敏感資料及客戶資料,禁止未授權的情況下接觸、使用或是將該資訊揭露、告知予與業務無關之同仁、廠商及其他客戶。
  • (六)所有員工對於異常事件及有違反安全政策與程序之虞者,應隨時保持警戒,並依程序進行通報。
  • (七)本公司應視業務需求訂定業務持續運作計畫,並定期測試演練,維持其適用性。
  • (八)本公司各單位重大資訊設備(含軟、硬體)異動,應由資訊處協助技術及規格之評估。
  • (九)本公司應每年進行員工(包括約聘僱人員)資安教育訓練。

第四條

本政策之頒布,明確宣示維護資訊安全的重要性,遵照本政策之要求,本公司應業務需求時得另訂定相關資訊安全作業規範供各單位遵循。
各單位應秉持維護本公司作業環境之資訊安全遵照辦理,以持續提昇各項作業服務之機密性、完整性與可用性。

第五條

本政策未盡事宜,依主管機關之法令及本公司其他相關規定辦理。

第六條

本政策經總經理核准後施行,修正或廢止時亦同。

資訊安全具體管理方案

本公司資訊安全評估分類與具體說明如下 :

一、網路活動檢視

  • (一)、網路活動皆透過集團資安中心24小時持續偵測,針對重大資安風險立即進行處理,每月集團提供中低風險資安事件進行改善。
  • (二)、各外點切分虛擬區域網絡,設置防火牆與安全加密連線通道(SSL VPN),管制設備網路介面卡不允許非法設備網路連線。

二、安全設定檢視

  • (一)、提供外部服務系統上線時,一律透過集團安排弱點掃描,通過才可上線。
  • (二)、公司個人電腦 USB 埠預設關閉,開放需另外申請核准且進行存取管控。
  • (三)、公司個人電腦與伺服器均安裝防毒軟體,一人一帳號,並利用網域伺服器(Active Directory) 管控認證,每三個月強制更換密碼。
  • (四)、架設 Windows Server更新服務(WSUS)進行公司個人電腦與伺服器軟體自動更新。
  • (五)、機房進出均有門禁管制,重大系統定期備分,資料庫每年進行災難復原演練。
  • (六)、每年進行資訊架構評估改善。

三、稽核事項改善

  • (一)、資訊業務訂定ISO內稽內控辦法,並遵照辦法進行。
  • (二)、每年定期接受集團、外部會計事務所、內稽內控之資安稽核,並依建議事項進行改善。

四、郵件管控與社交工程演練

  • (一)、郵件系統皆透過垃圾郵件伺服器進行過濾,並設定黑白名單機制。
  • (二)、不定時配合集團進行郵件釣魚測試,並依嚴重性提報改善。
  • (三)、每年舉辦資安教育訓練,不定期進行資安公告,提升員工資訊安全觀念。

伍、通過 ISO 27001資訊安全管理系統標準認證

本公司為強化資訊安全管理,建立安全及可信賴之作業環境,確保資料、系統、相關網路環境與設備安全,保障客戶權益,並依公開發行公司建立內部控制制度處理準則第8條、第9條、第13條規範,特訂定本政策以作為實施各項資訊安全措施之依據。

本公司已於112年導入 ISO 27001資訊安全管理系統標準認證,並定期取得 ISO 27001認證,目前證書有效期為112年7月03日至114年10月31日。透過 ISO 27001資通安全管理系統之導入,強化資通安全事件應變處理能力,並保護公司與客戶之資產安全,控制並降低資訊安全事件所帶來的威脅及衝擊。

六、資訊安全相關具體活動

資安委員會設置編設共二十一員,其中公告設立資安長、資安專責主管及資安專責人員(各1員),每年召開四次資安委員會議及一次管理審查會議及年底董事會資安執行成效報告,內部資安稽核每年一次,資安第二方稽核(勤業會計師事所、中華電信及中鋼公司)每年一次經由PDCA不斷改善精進資安強度,每週實施資安社交工程演練及非公司授權軟體監測以強化同仁資安警覺及恪遵智慧財產之觀念,112年度本公司投入約680萬於強化資訊安全,包含MDR服務、各項服務主機備援機制、資料災難復原、防毒防駭、主機Syslog 記錄-儲存/稽核/查詢機制等等。

112年資安委員會議

次數 召開日期 重要決議
1120325 決議資安相關事項共4項(嚴禁使用非授權軟體、OT資安訪談準備…等等)
1120523 完成資安改善事項26項(災害復原演練、MDR(威脅偵測應變)防護…等等)
1120927 完成資安改善事項3項(設置紀錄檔保存伺服器…等等);1120714取得實體ISO27001證書
1121227 完成資安改善事項24項(特權管理系統、主機弱點掃描、重大資安事件演練…等等)

112年資安管理審查會議

召開日期 報告事項
1120523

一.資訊安全設定四項績效指標報告

項次 資訊安全目標 設定目標值
1 官方網站服務可用率 99%
2 電子商務服務可用率 99%
3 網路服務可用率 98%
4 資安事件(3級以上)發生頻率 0 件/年

二.112年內部稽核改善事項報告



資訊安全風險管理架構

本公司資訊安全之權責單位為資訊處,負責規劃、執行及推動資訊安全管理事項,並定期透過教育訓練提升人員資訊安全意識。

本公司每年接受內、外部稽核,若查核發現缺失立即排定改善計畫,降低內部資安風險。

本公司組織運作模式–採 PDCA(Plan - Do - Check - Act)循環式管理,以確保可靠度目標之達成,進而促使本公司資安持續改善。

本年度資訊架構改善成果已於109年12月31日第11屆第14次董事會報告在案。

109年完成計畫 110年預定執行計畫

本公司所有網路活動均受資安中心24小時持續偵測保護,並設立資安事件通報流程如下 :

資訊安全政策

第一條

本公司為強化資訊安全管理,建立安全及可信賴之作業環境,確保資料、系統、相關網路環境與設備安全,保障客戶權益,並依公開發行公司建立內部控制制度處理準則第8條、第9條、第13條規範,特訂定本政策以作為實施各項資訊安全措施之依據。

第二條

本政策適用於本公司所有員工、約聘僱人員、顧問、委外廠商及訪客(以下簡稱全體人員)。

第三條

本公司將依下列原則致力於各項作業安全,以降低資安風險及保障客戶權益:

  • (一)進行各項作業時,應遵循主管機關頒布之各種法令及本公司相關之規定辦理。
  • (二)工作分派應考量職能分工,職務責任範圍應予區分,以避免資訊或服務遭未授權修改或誤用。
  • (三)任用資訊安全相關工作或處理機密資訊人員前應進行個人安全背景調查。為規範員工對其所保管及使用資訊保密之目的,應要求員工(包括約聘僱人員)簽訂保密切結書。
  • (四)協力廠商、委外廠商及顧問於業務性質有必要時,本公司得要求其簽訂保密切結書。
  • (五)所有員工有義務保護本公司機密敏感資料及客戶資料,禁止未授權的情況下接觸、使用或是將該資訊揭露、告知予與業務無關之同仁、廠商及其他客戶。
  • (六)所有員工對於異常事件及有違反安全政策與程序之虞者,應隨時保持警戒,並依程序進行通報。
  • (七)本公司應視業務需求訂定業務持續運作計畫,並定期測試演練,維持其適用性。
  • (八)本公司各單位重大資訊設備(含軟、硬體)異動,應由資訊處協助技術及規格之評估。
  • (九)本公司應每年進行員工(包括約聘僱人員)資安教育訓練。

第四條

本政策之頒布,明確宣示維護資訊安全的重要性,遵照本政策之要求,本公司應業務需求時得另訂定相關資訊安全作業規範供各單位遵循。
各單位應秉持維護本公司作業環境之資訊安全遵照辦理,以持續提昇各項作業服務之機密性、完整性與可用性。

第五條

本政策未盡事宜,依主管機關之法令及本公司其他相關規定辦理。

第六條

本政策經總經理核准後施行,修正或廢止時亦同。

資訊安全具體管理方案

本公司資訊安全評估分類與具體說明如下 :

一、網路活動檢視

  • (一)、網路活動皆透過集團資安中心24小時持續偵測,針對重大資安風險立即進行處理,每月集團提供中低風險資安事件進行改善。
  • (二)、各外點切分虛擬區域網絡,設置防火牆與安全加密連線通道(SSL VPN),管制設備網路介面卡不允許非法設備網路連線。

二、安全設定檢視

  • (一)、提供外部服務系統上線時,一律透過集團安排弱點掃描,通過才可上線。
  • (二)、公司個人電腦 USB 埠預設關閉,開放需另外申請核准且進行存取管控。
  • (三)、公司個人電腦與伺服器均安裝防毒軟體,一人一帳號,並利用網域伺服器(Active Directory) 管控認證,每三個月強制更換密碼。
  • (四)、架設 Windows Server更新服務(WSUS)進行公司個人電腦與伺服器軟體自動更新。
  • (五)、機房進出均有門禁管制,重大系統定期備分,資料庫每年進行災難復原演練。
  • (六)、每年進行資訊架構評估改善。

三、稽核事項改善

  • (一)、資訊業務訂定ISO內稽內控辦法,並遵照辦法進行。
  • (二)、每年定期接受集團、外部會計事務所、內稽內控之資安稽核,並依建議事項進行改善。

四、郵件管控與社交工程演練

  • (一)、郵件系統皆透過垃圾郵件伺服器進行過濾,並設定黑白名單機制。
  • (二)、不定時配合集團進行郵件釣魚測試,並依嚴重性提報改善。
  • (三)、每年舉辦資安教育訓練,不定期進行資安公告,提升員工資訊安全觀念。

伍、通過 ISO 27001資訊安全管理系統標準認證

本公司為強化資訊安全管理,建立安全及可信賴之作業環境,確保資料、系統、相關網路環境與設備安全,保障客戶權益,並依公開發行公司建立內部控制制度處理準則第8條、第9條、第13條規範,特訂定本政策以作為實施各項資訊安全措施之依據。

本公司已於112年導入 ISO 27001資訊安全管理系統標準認證,並定期取得 ISO 27001認證,目前證書有效期為112年7月03日至114年10月31日。透過 ISO 27001資通安全管理系統之導入,強化資通安全事件應變處理能力,並保護公司與客戶之資產安全,控制並降低資訊安全事件所帶來的威脅及衝擊。