資訊安全政策
秉持「強化資安管理 ,保障客戶權益 」之核心價值
導入 ISMS 資訊安全管理系統,並通過驗證,依據「Plan-Do-Check-Act(PDCA)循環的管理機制,以循序漸進,持續改善之原則,強化資料、資訊系統、設備及網路通訊之安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,保障業務資訊之機密性、完整性、可用性、遵循性。
資訊安全委員會
本公司「資訊安全委員會」負責執行資訊安全管理規劃、建置與維護
並定期實施資訊安全宣導、社交工程演練、營運持續計畫演練、滲透測試、弱點掃描,落實資訊安全管理政策之推行,並針對非預期資訊安全事件,建立緊急應變措施。
資訊安全管理作為
-
本公司已於 2025 年 2 月 7 日通過 ISO/IEC 27001:2022 資訊安全管理系統驗證,證書有效到期日為2028年2月6日。
-
定期針對在職人員進行資安宣導,並於每年無預警實施兩次社交工程演練,提升全體同仁資安意識。
-
定期執行風險評鑑,以識別出具高風險之項目,並予以改善,確保降低公司營運風險。
-
定期執行資料備份作業,並制定營運持續計畫演練,確保備份之有效性。
-
建置防火牆、防毒軟體、郵件過濾,並定期執行更新,確保有效對外部威脅進行偵測及阻斷。
-
建置端點控管系統,針對周邊儲存裝置、員工上網行為、檔案權限進行控管及記錄,避免公司智慧資產遭受外洩之風險。
-
每年定期執行弱點掃描、滲透測試、資安健診,確保資訊系統及網路通訊之安全性。
-
每年進行內外部稽核,針對稽核結果進行改善,以利資訊安全管理系統更趨完善。
資訊安全管理措施
具體管理措施
| 存取控管 |
權限管理
- 人員帳號權限管理與審核。
- 密碼必須符合複雜性需求,且定期更換。
- 電腦軟體安裝權限管控。
|
| 本機控管 |
資料傳輸控管
- 禁用私人外接儲存裝置。
- 內/外部網路存取控管。
- 網頁過濾。
|
| 郵件安全管控 |
電子郵件防護機制
- 郵件審核機制
- 病毒、惡意程式、釣魚信件偵測
- 廣告/垃圾郵件過濾
|
| 外部威脅管理 |
病毒/駭客入侵防護
- 即時性更新防毒軟體病毒碼,降低中毒風險。
- 定期執行弱點掃描、滲透測試、資安健診,驗證資安防護成效。
- 防火牆入侵偵測,阻擋外部網路攻擊。
|
| 資訊機房實體安全控管 |
人員進出控管
- 機房進出需登記,並在資訊人員陪同下始得進入。
- 機房設有監視系統及門禁保全,防範未經授權人員進入。
|
| 系統高可用性 |
系統營運不中斷
- 主機系統採Vmware 虛擬化管理,具有高可用性(HA),系統故障時可在最短時間內恢復運作。
|
| 營運持續管理 |
備份還原機制
- 執行3-2-1備份原則:至少製作三份備份、備份檔案分別存放於兩種不同 儲存媒體、保存一份異地備份。
- 每年定期執行災難復原演練,確保備份之有效性。
|