資訊安全管理
SDGs目標
2024年亮點績效
- 取得ISO27001資訊安全系統管理認證
- 零資安事件、零資料外洩事件
對本公司的意義
保護客戶機密資訊,落實員工安全管理及機密資訊保護,以確保客戶、公司、員工及全體股東的利益,維持公司競爭力。
目標
| 短期目標 (2025年) |
中期目標 (2026年~2029年) |
長期目標 (2030年~) |
|---|---|---|
|
|
|
管理策略
進行機房設備、網路安全、病毒防護與電子郵件管理、系統存取與維運、人員教育訓練、資訊安全稽核及中國品牌資通訊設備清查等安全管理措施,強化公司資安防護能量。
投入資源與執行成果
請參閱本報告書ESG年度計劃與執行成果。
本公司已設立「資訊安全委員會」,明確規範資訊安全管理作業之人員權限與責任,協調事務及推動資訊安全管理事宜,確保資訊安全各項管理規範能有效持續地執行,並達成資訊安全之政策與目標。本管理組織結構如下:
資訊安全組織架構圖
2024年資訊安全具體管理方案及措施
| 項目 | 具體管理措施 |
|---|---|
| 防毒軟體 | 使用防毒軟體,並自動更新病毒碼,減少病毒感染的機會 |
| 社交工程演練服務 | 每年進行兩次進行員工社交工程警覺性測試,提升員工對資安的意識,演練人數2,592人次 |
| 建置資通安全威脅偵測管理(SOC)監控服務 | 委託中華資安公司提供事前威脅的預警情報、事中威脅的即時告警以及事後威脅的分析建議,有效管理各種資安警訊,讓資安人員可以專注於處理重要的資安風險,共同防堵資安威脅 |
| 對外網站執行弱點掃描或滲透測試 | 以駭客思維嘗試入侵公司網站、資訊系統、資訊設備等軟硬體,找出潛在的漏洞,驗證企業的資料與設備是否可被竊取或破壞,評估資訊系統與硬體安全性是否有待加強,提早進行修補 |
| 通過ISO 27001資安認證作業 | 2024年由第三方單位BSI執行實地稽核且通過複驗,2025年認證持續有效 |
| 導入網頁程式防火牆(WAF) | 保護網站應用程式,透過監控及過濾網站傳輸的 HTTP/HTTPS請求,WAF可比對病毒與惡意程式等網路攻擊,並拒絕可疑、惡意流量進入網站,只讓安全且正常的流量通過,避免遭受惡意攻擊、資料外洩,保障公司網站安全 |
| 防火牆防護 | 防火牆設定連線規則,如有特殊連線需求需額外申請開放 |
| 使用者上網控管機制 | 使用者需經申請核准後才可上網,系統自動過濾封鎖使用者上網可能連結到有木馬病毒、勒索病毒或惡意程式的網站 |
| 作業系統安全性更新 | 透過WSUS伺服器自動派送更新檔到使用者電腦更新 |
| 資料備份機制 | 資料庫資料及應用程式定期備份,公用硬碟建立備援機制,每周將重要資料複寫到備援公用硬碟,避免硬碟損壞或中毒時,不會遭受資料遺失 |
| 災難復原 | 每季執行資訊系統災難復原計劃演練,自備份的檔案資料轉到測試的資料庫,檢查某一系統的資料是否正常 |
| 郵件安全管控 |
|
| 權限管理 | 人員帳號權限管理及審核,人員帳號權限定期盤點 |
| 存取控制 |
|
| 系統維運管理 | 重要系統資源與廠商簽訂維護合約,以維持系統正常運作 |
| 人員教育訓練 |
|
| 資訊安全稽核 | 每年定期接受內稽、內控文件稽核,外稽(會計師)及中鋼資安稽核 |
2025年資安強化計畫
| 項目 | 內容 |
|---|---|
| 滲透測試、弱點掃描 | 以駭客思維嘗試入侵公司網站、資訊系統,找出潛在的漏洞,評估資訊系統與硬體安全性是否有待加強,提早進行修補 |
| 程式援碼檢測 | 源碼檢測又稱原始碼檢測,是針對應用程式的原始碼進行測試與分析,找出潛在的漏洞與弱點並進行修補作業,並非檢查已完成的程式 |
| Mail Server備援機制 | 當主要伺服器故障後,備援伺服器可以直接無縫接軌上線運作 |
| 建置日誌管理伺服器 | 因應ISO 27001要求,重要伺服器及資通設備需建置日誌管理伺服器收容紀錄,並定期由權責人員審核,以利提早發現異常或事後追蹤跡證,已簽訂N-reporter軟體內容(含第1年導入,維護4年,總共5年) |
| 資安專責人員專業培訓 | 依據資通安全管理法,資通安全專責人員,每人每年需12小時 |
| 社交工程演練服務 | 透過社交工程演練提升員工資安意識和防護力,減少遭受社交工程攻擊的風險與損失 |
| 增加屏南網路備援 | 與台灣大簽訂企業專線來避免中華電信單點網路線路故障風險 |