資通安全

1. 組織架構:

1.1 為強化本公司之資訊安全管理、確保資料、系統及網路安全,於公司「永續發展委員會組織」下設立了「資通安全小組」。

資通安全小組由資訊單位主管擔任組長,資訊單位編制共五人,其中一人兼任資安主管,另一人兼任資安專員,負責統籌、計畫、執行及分析資安事件並每季度向永續管理委員會彙報資安相關議題及執行方向。於2023年11月14日向董事會報告資通安全小組資通安全政策、具體管理方案及最近一年資通安全相關報告。

2.資訊安全政策及具體管理方案:

資通安全設施與管理方式分為六大方向:

2.1 電腦設備安全管理:

2.1.1 本公司主機伺服器等設備設置於專用機房,機房門禁進出需登記,以保留進出紀錄存查。

2.1.2 機房內部備有獨立空調,維持電腦設備於適當的溫度環境下運轉,機房內建置自動滅火系統,並定期請廠商進行保養、測試及維護。

2.1.3 機房主機配置不斷電,避免意外瞬間斷電造成系統當機。

2.2 網路安全管理:

2.2.1 防火牆建置:與外界網路連線,設定防火牆連線規則,啟用入侵防護機制,阻擋駭客非法入侵。

2.2.2 同仁由遠端登入公司內網存取ERP系統,必須申請VPN帳號,透過VPN加強驗證機制方能登入使用,且有留下使用紀錄可稽查。

2.3 病毒防護與管理:

2.3.1 個人電腦及伺服器使用防毒軟體均安裝防毒軟體,並自動更新病毒碼,降低病毒感染機會。

2.3.2 電子郵件伺服器有自動郵件掃描威脅防護,在使用者接收郵件之前,事先防範不安全的附件檔案、釣魚郵件、垃圾郵件,及擴大防止惡意連結的保護範圍。

2.4 系統存取控制:

2.4.1 帳號及密碼管理的設置,強制密碼設定規則及並強制要求使用者定期更改密碼,由外部連線應加強帳號之驗證,也定期查核帳號的有效性。

2.4.2 同仁對各應用系統的使用,透過公司內部規定的系統權限申請程序,經權責主管核准後,再由資訊單位建立系統帳號及設定所申請的權限,方存取系統資訊,也定期查核權限的適當性。

2.4.3 同仁辦理離(休)職手續時,必須會辦資訊單位,進行各系統帳號的刪除作業。

2.4.4 電腦端點電腦資安的管控,可記錄、管控員工的電腦使用,避免資料遺失或外洩。

2.5 確保系統的永續運作:

2.5.1 資料備份機制:重要資訊系統資料庫皆設定每日備份,備份資料異地存放。

2.5.2 災害復原演練:ERP系統每年實施一次演練,安排災害情境,將備份媒體回存於系統主機,再由使用單位進行演練操作,並於書面確認回復資料的正確性,確保備份媒體的正確性與有效性。

2.5.3 各子公司及工廠除專線外,並租用電信公司數據線路做為備援使用,確保網路通訊不中斷。

2.6 資安宣導與教育訓練:

2.6.1 資訊安全定期宣導:定期辦理資訊安全教育訓練及宣導,包括資訊安全政策、資訊安全法令規定、 資訊安全作業程序等,促使員工瞭解資訊 安全的重要性,各種可能的安全風險,以提高員工資訊安全意識,並遵守資訊安全規定。

2.6.2 資訊安全案例宣導:不定期宣導資訊安全案例及相關資訊。

2.6.3 加入「台灣電腦網路危機處理暨協調中心TWCERT/CC」會員,取得資安事件諮詢管道,以及收集資安情資,提供內部宣導。

2.7 投入資通安全管理之資源:

為實踐六大項資通安全政策,投入之資源如下:

2.7.1 網路硬體設備:如防火牆、防毒軟體、垃圾郵件過濾(SPAM)、磁帶備份主機及機櫃、機房自動滅火系統、…等。

2.7.2 軟體系統:如備份管理軟體、VPN二次驗證機制、電腦端點資安管控、…等。

2.7.3 電信等服務:如備援數據線路、租用銀行保險箱存放備份媒體等。

2.7.4 投入人力:如每日主機伺服器及各系統狀態檢查、定期備份及備份媒體異地存放之執行、定期資安宣導、災難復原執行演練、權限覆核、每年對資訊循環之內部稽核、會計師稽核、…等。

2.7.5 資安人力: 資通安全小組由資訊單位主管擔任資安組長、一人兼任資安主管及一人兼任資安專員,負責統籌、計畫、執行及分析資安事件並定期每一季度向永續管理委員會彙報資安相關議題及執行方向。

3.緊急通報程序

3.1 當發生資訊安全事件時,發生單位通報資訊安全處理小組,判斷事件類型並找出問題點,即時處理並留下紀錄。