| 資通安全政策 |
政策目標 |
作業程序 |
程序說明 |
資安管理政策 |
資安權責劃分 |
資安專責管理 |
由本公司資訊部負責資通安全事務,並設置資安專責主管及資安專責人員,負責政策之制定及程序之執行。 |
| 資安專業訓練 |
委外專業訓練課程 |
1.資安專責單位定期接受專業資安課程訓練
(每年至少一次)
2.不定期參與資安技術研討會 |
| 資訊傳達 |
資安現況彙報 |
1.資安專責主管定期向董事會進行資通安全現況彙報
(每年至少一次)。
2.不定期與公司管理階層進行資安現況彙報及政策檢討
(每年至少二次)。 |
| 營運持續政策 |
威脅應變 |
情資預警通報機制
威脅偵測應變機制
事件分析機制
|
1.加入聯防組織-台灣電腦網路危機處理暨協調中心(TWCERT/CC)以及資安公司SOC情資分享,於事前取得資安情資通報。
2.與資安公司合作,於資安事件發生時,進行自動應變及專家分析處理;於事件發生後,由資安公司進行事件分析及鑑識。 |
| 系統備份 |
本地備份機制
異地複寫機制
|
系統及資料定期備份,提供災難發生時之資料復原及系統回溯。 |
| 系統備援 |
伺服器叢集機制
聯外網路備援機制
供電備援機制
空調備援機制 |
建立各層級之備援,當單一元件發生故障時,備援裝置進行自動切換,可確保整體系統之持續運作。 |
| 遠距辦公 |
遠距連線機制
雲端工作平台
線上會議機制
|
藉由多因子驗證及加密連線提供人員遠距辦公,並利用雲端工作平台及會議軟體,達成遠距協同作業之目的,此機制於疫情期間大量實作。 |
| 資安防護政策 |
線路端防護 |
電信端入侵偵測防護 |
於各層面導入多項資安防護設備或機制,以偵測不同型態、多種管道之威脅,以達成縱深防禦之概念。
各項資安防護機制多採自動化之應變處理,少量需人工介入之部分則參照標準作業程序進行,以提高應變效率,減少人為失誤。
對於高風險之行為及裝置進行控管,以確保整體系統之安全。 |
| 閘道端防護 |
閘道型防火牆
閘道型郵件掃瞄系統 |
| 終端防護 |
防毒軟體
端點偵測應變軟體
作業系統政策管制
周邊裝置存取管制
應用程式管制
網頁存取管制 |
| 安全性更新及漏洞修補 |
作業系統安全性更新
特徵碼資料庫更新 |
定期進行特徵碼、漏洞修補……等更新,以避免最新的攻擊手法或威脅造成影響。 |
| 第三方資安檢測 |
弱點掃描
社交工程演練 |
藉由與資安公司之合作,進行資安檢測及社交工程演練
(每年至少各一次),以檢測系統弱點及人員資安警覺性,並依檢測結果進行修正及改善。 |
| 資安意識提升 |
資通安全教育及宣導
合法軟體宣導 |
不定期進行一般同仁資安教育訓練及資安宣導,提升人員資安知識及警覺性(每年至少四次)。 |
