資訊安全風險管理
加強資安訓練,符合法令要求規範
加強資安訓練,督導全體同仁落實資通安全管理,並適時進行資通安全教育訓練,建立「資通安全,人人有責」的觀念,促使員工了解資通安全相關法令規範的重要性,進而遵循相關法律與規定。藉此提升資通安全的認知與能力,降低資訊安全風險,達成《資通安全管理法》及《個人資料保護法》等相關法令的要求。
落實資通安全,強化資通服務品質
為了執行SMS,所有與資訊系統作業相關的措施,應確保資料的機密性、完整性與可用性,避免因資訊安全威脅而造成資料外洩、破壞或遺失等風險。應選擇適當的保護措施,將風險降至可接受的程度,並進行持續的監控、稽核與資訊安全管理制度的執行,以健全的資通安全體系強化服務品質,提升整體服務水準。
規劃持續營運,迅速完成災害復原
訂定關鍵性業務核心資通系統之緊急應變計畫與災害復原計畫,每一項核心資通系統至少每兩年須執行一次緊急應變演練,以確保在資通系統失效或重大災害事件發生時,能迅速復原,維持關鍵核心資通系統的持續運作,確保本公司主要業務能順利進行。
資安風險因應對策
1.強化資安防禦能力
- 建置企業等級的網路防火牆(Firewall)提供入侵偵測防護(IPS)機制,並區隔內網及DMZ區,只開放必須的網路服務功能與通訊協定,確保已授權的使用者,僅能在授權範圍內存取網路資源。
- 所有伺服器及個人電腦一律安裝防毒軟體,並導入MDR服務以提升主機及使用者的端點安全。
- 實施多因素驗證(MFA)、密碼強度要求及定期變更機制,防範未經授權的存取行為。
- 定期進行系統資安檢測(源碼、黑箱、白箱、系統),並進行重大漏洞修補。
- 持續進行營運持續應變演練,確保安全與業務的持續運作,降低事件所造成的損失。
- 建立資訊安全事件通報及應變管理程序,以迅速有效獲知並處理事件,將安全及失效事件所造成的損害降到最低,並採取必要之應變措施,降低事件可能帶來之衝擊與損害。
2.精進資安管理程序
- 導入符合資訊安全及個人資料保護相關ISO 27001、ISO 27701等國際認證標準。
- 專人負責ISO 27001及ISO 27701制度的管理與維護,並每年進行稽核及驗證,以不斷地進行持續改善。
3.風險控制
- 持續導入資安產品及工具以強化公司面對資安威脅的處理能力,保護公司於發生網路攻擊時,能將潛在損失降至最小的範圍。
- 透過資通安全風險管理程序,識別資訊安全威脅,並制定風險降低措施,確保資訊系統免受攻擊與意外損害。
4.教育訓練
- 進行全公司同仁資安教育訓練,以提升同仁資安意識並強化公司資安落實度。
- 進行社交工程演練,強化同仁對於釣魚攻擊郵件之警覺性。
合理利用個資、防範個人資料外洩
提升相關人員對法規遵循的能力,並與外包廠商簽訂合約與協議,以確保個人資料的安全。加強員工教育訓練,提升個資保護意識,建立監控與稽核機制,持續監控個人資料的使用、存取與傳輸,並能即時偵測與應對異常活動或資安事件。當個資不再需要時,應確保其能被安全且永久地刪除。