信息安全风险

资讯安全风险

设置「信息安全管理委员会」,事项协调、规划、稽核及推动统一信息安全管理等。以强化信息安全管理、确保信息的机密性、完整性与可用性、信息设备(包括计算机硬件、软件、外围)与网络系统可靠性及同仁对信息安全之认知,确保上述资源免受任何因素之干扰、破坏、入侵、或任何不利之行为与企图为职责。

资讯安全管理委员会 单位职责

单位 管理职责
信息安全管理委员会 整合资源及统一信息安全管理等事项之协调、规划、稽核与推动。
各事业部 配合政策执行。
法务单位 提供法律支持,对诉讼及非诉讼事务管理,确保利益不受侵害。
稽核单位 评估信息安全管理制度之执行情形,检查法令规章是否确实遵循并提出改善建议。
财务单位 配合政策执行。
人事单位 信息安全政策倡导及教育训练。
信息单位 规划及执行各项信息安全作业。

资讯安全管理执行情形

(一) 为强化资安联防体系,于今年加入「资安长联谊会」联盟,横向加强同产业间之资安联防与交流。
(二) 提升同仁资安意识,透过发布信息安全倡导期刊及执行邮件社交工程演练,提升警觉性。
(三) 企业外曝资安风险监控,采非侵入式的信息收集技术,透过收集公开数据、网络诱捕机制与威胁情资整合,加上弱点搜索引擎,将所有持续收集的安全风险指标分析,进而帮助企业监控网络风险。
(四) 计算机安全管理
  1. 限制用户使用系统平台管理员权限,减少计算机中毒机率、蓄意或无意修改系统设定及因任意安装非法软件、个人软件所衍生的法律责任与公司营运损失。
  2. 每月进行计算机抽查,稽查项目包含防拆封条检查、确认已安装USB 装置控管程序、确认已安装文件加密软件、所安装之软件均为公司授权、确认已加入公司网域、确认未私自更换或加装零组件等。
(五) 远程联机启用双因素认证登入机制,利用手机App 一次性随机码认证,提升同仁远距办公联机时之便利性与安全性。
(六) 导入邮件过滤系统进阶防御模块,可进阶防御鱼叉式攻击、汇款诈骗、APT攻击邮件、勒索病毒以及新型态攻击等邮件。
(七) 导入信息系统管理员账号双因素登入认证机制,加强重要系统特权账号使用之保护。
(八) 建构SAP ERP 系统之云端备援环境,加强系统之安全性与可用性。
(九)所有服务器主机导入威胁侦测与应变服务(MDR),于黑客恶意软件发动时可立即回应并主动阻断入侵攻击,加强重要系统安全韧性。
(十)针对内部重要服务器主机进行系统弱点扫描,以确认所管理的设备是否存在漏洞,并执行漏洞修补作业。
(十一)重新建构备份系统,并实施云端异地备份、防窜改等备份功能,确保备份数据之安全性与可用性。
(一) 为强化资安联防体系,于今年加入「台湾电脑网路危机处理暨协调中心(TWCERT/CC)」联盟。
(二) 提升同仁资安意识,透过发布资讯安全宣导期刊及执行邮件社交工程演练,提升警觉性。
(三) 企业外曝资安风险监控,采非侵入式的资讯收集技术,透过收集公开数据、网路诱捕机制与威胁情资整合,加上弱点搜寻引擎,将所有持续收集的安全风险指标分析,进而帮助企业监控网路风险。
(四) 计算机安全管理
  1. 取消使用者具有系统平台管理员权限,减少电脑中毒机率、蓄意或无意修改系统设定及因任意安装非法软体、个人软体所衍生的法律责任与公司营运损失。
  2. 每月进行电脑抽查,稽查项目包含防拆封条检查、确认已安装USB 装置控管程式、确认已安装文件加密软体、所安装之软体均为公司授权、确认已加入公司网域、确认未私自更换或加装零组件等。
(五) 远端连线启用双因素认证登入机制,利用手机App 一次性随机码认证,提升同仁远距办公连线时之便利性与安全性。
(六) 增购邮件过滤系统进阶防御模组,可进阶防御鱼叉式攻击、汇款诈骗、APT攻击邮件、勒索病毒以及新型态攻击等邮件。
(七) 导入资讯系统管理员帐号双因素登入认证机制,加强重要系统特权帐号使用之保护。

資訊安全軟硬體投資

导入MDR 威胁侦测与应变服务、系统弱点扫描服务、建构ERP系统云端备援环境、重新建构备份系统等,本年度在资安软硬件与服务投入之费用共约新台币4,359仟元。

导入邮件过滤系统进阶防御模块(ADM)、SecurityScorecard、特权账号多因素认证系统等,在资安软硬件与服务投入之费用共约新台币2,169仟元。

导入F5 Networks远程联机设备及邮件过滤系统增购防毒模块,相关导入与建置费用共约新台币1,352仟元。

arrow_upward