資安管理

114年度資通安全管理執行情形

一、資通安全風險管理架構
因應網際網路日新月異，網路安全的威脅也日益升高，本公司設有一套完整的網路與資訊安全防護系統以確保公司的營運及財會等重要資訊系統有效運作。本公司於112年11月8日董事會通過設置資訊安全專責主管，由管理處陳韻如副總擔任，並由管理處資訊部門負責資訊安全事項的協調及推動；配合公司稽核單位每年定期進行資訊機密維護及稽核管理事項工作、落實資訊安全管理措施。

二、資通安全政策
本公司各項資訊安全管理規定均遵守政府相關法規及規定，隨時蒐集、分析最新資訊安全相關法規，以制訂或修訂相關管理政策；定期宣導資訊安全訊息以提升員工資安意識，維護資訊安全程序之有效性，確保公司員工均確實暸解、遵守資訊安全規定，保護本公司之資訊安全系統與業務安全；不定期審查所需執行的資訊安全相關作業，以確保符合安全政策。

三、具體管理方案
(1)網路安全管控：
設置防火牆及入侵偵測防禦系統，防止來自第三方的網路威脅，追蹤網路流量異常情形；設置垃圾郵件過濾平台，有效的過濾垃圾及病毒郵件之威脅，並即時更新垃圾郵件防護機制；員工在外透過安全之VPN連線來存取公司系統，避免資料傳輸過程中遭到非法擷取。
(2)系統存取管控：
公司內各應用系統的使用，需透過資訊系統申請作業，經權責主管核准後，由資訊單位建立帳號，並依使用者負責之業務範圍設定帳號及使用權限後方可使用，使用者一旦離開原職務，立即撤銷該使用者之帳號及權限，以防範未經授權之使用。
(3)病毒防護管理：
伺服器與所有員工電腦設備皆佈署防毒軟體，以確保所使用的電腦安全性，所有電腦系統定時更新修正檔，系統與文件採取備份措施，隨時留意安全漏洞通告，即時修補高風險漏洞。
(4)確保資料可用性：
建置資料備份，每日自動將系統資料同步備份至另一獨立之NAS網路磁碟系統，當主要資料發生異常時，此獨立之磁碟系統資料即可作為復原之依據。
(5)資訊安全宣導：
加強內部使用者資訊安全教育訓練及對於資訊安全的意識及認知，並宣導勿使用公共電腦與網路作為工作使用，善盡保護公司資訊安全之責任。
(6)電腦設備安全管理：
設置專用機房放置各項資訊及網路設備，機房鑰匙由資訊部門主管保管，非經資訊部門主管同意，不得進入；機房配置獨立空調及不斷電系統，以維持資訊設備於適合之溫度下運轉，以及因應突發斷電保護設備運作及資料安全；配置防火設備(如偵煙器及滅火器)並定期檢驗。
(7)資通安全情資評估：
已加入 TWCERT/CC 資安聯盟，強化企業間資安情資分享與資安聯防，可透過聯盟彼此交換資安情資，針對營運面遭遇資安問題或近期發現之重要資安議題進行預警及處理，以達資安聯防。
四、投入資通安全管理之資源暨推動執行情形
(1)端點軟硬體設備如防火牆、電腦防毒、VPN連線認證、垃圾郵件過濾設備等。
(2)建置多重電信網路線路，並以防火牆做流量負載平衡。
(3)投入人力：每日各系統狀態檢查、設備異常發信通知、每日凌晨系統自動執行備份作業、每月將備份之資料媒體存放至銀行保管箱做異地備份、定期檢核備份區資料的可用性及完整性、每年對資訊循環之內部稽核、會計師稽核等。
(4)資安人力：配置資通安全主管一名及資安專責人員一名，負責資安架構設計、資安系統維運與監控、資安事件回應與調查、資訊網路軟硬體使用規範檢討與修訂。
(5)每季以E-mail對全體員工宣導「資訊網路軟硬體使用規範」及「使用者資訊安全SOP 及注意事項」、隨時依實際狀況，以E-mail通知全體員工「資通安全相關訊息」。
(6)114/4/10資安專責人員資安教育訓練 (台灣金融研究院開訓課程: 上市上櫃公司資通安全管控指引說明 & 資安事件說明及預防措施 & 資訊安全意識、必備知識與責任)。
(7)112/12/18已申請加入為TWCERT資安聯盟會員。
(8)114年資安投入金額31.1萬元。
(9)114年4月執行社交工程演練計畫，將「資訊安全」融入組織文化，使員工在面對日新月異的社交工程攻擊時，能主動查證並防範。
(10)導入中華電信資安艦隊防駭與威脅防禦服務, 提升資安防護等級。

114年度本公司並無因重大資通安全事件而遭受損失。