.png?v=1647475200)
.jpg?v=1697597433)
資訊安全政策
本公司為落實推動雖資訊安全管理改善之具體成果,並響應政府推動資訊安全之政策目標,特以ISO 27001國際標準為規範,主動建立資訊安全管理系統,並訂定本手冊說明本公司為確保資訊安全管理所採行的標準作業程序與相關技術規範,以做為資訊安全管理系統之指導原則,進而確保資訊安全管理系統有效運作,達成本公司資訊安全政策與目標。
資訊安全政策聲明
『健全資訊安全架構,提供安全效率網頁開發服務』
- 強化內部控制,防止未經授權之不當存取,以確保資訊資產受適當的保護。
- 適當保護資訊資產之機密性與完整性。
- 確保資訊不會在傳遞過程中,或因無意間的行為透露給未經授權的第三者。
- 確保所有資訊安全意外事故或可疑之安全弱點,都應依循適當通報機制向上反應,予以適當調查及處理。
- 經由教育訓練及發佈之資訊安全程序、辦法,使得核心之業務人員、相關單位配合人員及網路應用之使用者,皆能充份遵循本政策及措施。
- 符合各種法律規章之要求。
資訊安全風險管理架構
本公司,為確保資通安全落實於業務執行,設有「資訊安全管理委員會」由總經理召集各處室主管擔任資訊安全管理委員,設置資通安全長ㄧ職擔任委員會主席,審議公司資訊安全管理策略、目標與業務之任務組織;另設有公司資訊安全管理代表,資訊安全專責人力,負責管理與督導資通安全工作之規畫、推動與執行,及符合資通安全管理法以,執行情形說明如下:
- 由資訊處處主管擔任資訊安全長暨資訊安全管理審查會議主席,每半年定期召開會議,審查資訊安全發展方向及策略,使資訊安全管理制度持續穩健運作,並每年定期向董事會報告資訊安全執行成果。
- 各處室視業務需要指派單位資訊安全代表至少一名,資訊處系統維運部主管擔任公司資訊安全管理代表,每季召開「資安代表會議」,報告資訊安全發展計畫、執行成果及宣達相關資訊安全政策與執行要點。
資訊安全管理架構圖
資訊安全政策
資訊安全具體管理方案
1. 本公司訂有「資訊安全管理規範」,規範硬體、軟體、資料及文件、人員等需滿足C(機密性)、I(完整性)、A(可用性)、C(法律遵循性),並以持續運作、資安挑戰、適法性三個方向作為架構資通安全治理、管理之基礎,持續精進管理措施。
2. 本公司針對公司營運類資產如維修資訊系統、網路設備等資訊設備,投保硬體設備電子保險,透過保全監控、門禁管制作業避免設備被竊或惡意損毀情事發生。
3. 本公司致力於網路、個人電腦、伺服器、資料保護等資訊服務佈署層層資安防護,以達縱深防禦之效為目標,竭力於避免來自任何第三方惡意探測或駭侵,但仍無法保證可以完全避免駭侵(如:APT進階持續性攻擊(Advanced Persistent Threat)、DDoS(Distributed Denial of Service)攻擊、勒索軟體、社交工程攻擊、竊取資訊等資安議題)致資訊服務系統無法正常運作,導入SIEM(Security Information and Event Management,安全資訊與事件管理)平台與SOC(Security Operation Center,資安監控中心)加速資安告警事件的查覺時間;同時也評估透過投保資安險做為後盾,在考量保險範圍、理賠範圍、理賠鑑識、鑑識機構資格等議題綜效後,採取以每年度的內外部稽核、內控制度及規章審查、程序驗證等稽核檢視作業,做為因應資訊安全所面臨的挑戰,採取以下策略:
- 每年依公司資訊安全政策持續關注資訊環境變化趨勢,並參考技術文刊資料,擬訂資訊安全防護機制與方案。
- 每年執行安全性檢測、資通安全健診、及資通安全事件演練,強化公司同仁資安危機意識及資安處理人員應變能力,以期能事先防範及第一時間有效偵測並阻絕擴散。
- 每季對全體同仁執行資訊安全教育訓練、執行社交工程演練、及不定期的資訊安全宣導藉以提升同仁的資安意識防患於未然。
- 制訂資通安全事件通報及應變管理程序,因應資通安全事件發生時,可依據不同事件等級進行內外部通報、成立資通安全事件應變小組,評估事件影響範圍進行災害控制及後續事件調查等,藉以縮小營運影響範圍、減少營運衝擊時間以維持旅客的權益為優先。