資訊安全組織架構
本公司已成立資安小組專責資安暨個資事件危機處理。資安小組所權責之系統架構由網路安全、電腦安全、實體安全、資安監管平台四大部分組成。資安小組之職責內容包括擬定相關政策與辦法、建置與維護系統、定期測試系統、舉辦教育訓練與演練、處理資安事件。
資訊安全管理
系統架構組成
資訊安全管理政策與措施
五大資通安全政策
- 確保本公司資料、系統、設備及網路通訊安全,阻絕外界之入侵及破壞。
- 確保系統資訊帳戶存取權限與系統之變更均經過公司規定程序授權處理。
- 落實銷毀程序,已報廢之電腦儲存媒體應加以銷毀避免資料意外暴露外流。
- 監控資訊系統之安全狀態與活動紀錄,有效掌握並處理資訊安全事件。
- 維護資料與系統之可用性與完整性,發生災害或受破壞時,可回復正常作業。
制定具體管理方案並投入資源
本公司定期審視內部資訊安全規範,建置資通安全風險管理架構。規劃資通安全推動於配置相關資源時,則考量資通安全政策及目標,以提供建立、實行、維持及持續改善資通安全維護計畫所需之資源。
資安管理措施
| 管理措施 | 說明 |
|---|---|
| 制定管理辦法 | 訂定資訊安全管理辦法,主要內容包含「IT-001-01資訊安全管理辦法」與「IT-002-01資訊存取權限準則」。 |
| 定期演練 | 每年規劃定期進行社交工程測試與演練、核心系統備份還原演練。 |
| 教育訓練 |
|
| 佈建維運資安管理系統 | 包括防火牆、網路交換器、端點防護、Google Workspace Security、鼎新企業維運服務雲管理平台 |
資安事件通報通報作業程序
事件通報
各單位資訊系統用戶端於確認發生資安事件時,IT系統負責人應於30分鐘內向本公司上級主管反應事實,並適時回報處理進度。
建立列管
評估影響範圍後建立列管,資安小組須進行資安事件狀況調查,評估事件等級,若判斷無法獨立復原時應盡速請求支援。
應變處置
提出應變措施、決定應變措施、執行應變措施、確認處理結果。
解除列管
資訊單位於系統恢復正常運作時須通報相關單位解除列管,填寫「IT-001-01-h資訊事件安全報告單」紀錄備查。
| 等級 | 事件狀況 |
|---|---|
| A 級 | 所有關鍵系統中斷 |
| B 級 | 數個關鍵系統中斷 |
| C 級 | 造成單一關鍵系統中斷 |
| D 級 | 造成業務短暫停頓,但不需進行復原 |
| E 級 | 控制失效,但不影響業務運作、傷害、損失 |
