投資人關係
資訊安全政策與做法
資訊安全政策
公司須因應已辨識之相關風險及安全規範,對其資訊資源之安全加以保護。資訊安全要點包括但不限於:
- 為保護資訊資源不遭受病毒或其他惡意軟體入侵攻擊,所有資訊系統須針對潛在安全漏洞進行監測。
- 唯已經授權之使用者得接觸或使用公司資訊資源,相關使用權限須基於執行業務所需資訊之必要參酌授予。
- 須維護公司實體環境安全以防範有未經授權之人士進出公司之建築物及機房。
- 須維護資訊安全事故管理計畫,以即時反映並定期報告資訊安全相關事件。
- 恪守所有資訊安全相關主管機關規定、公司政策及合約義務。
資訊安全管理架構
欣陸投控由資訊部擔任統整集團資訊安全管理之權責,負責制訂資訊安全政策及建立資訊安全作業程序,並定期向董事會報告。近期向董事會報告日期為113年11月1日。
資訊安全具體管理方案
本公司並無投保資安險,但透過以下的具體管理方案將公司資安風險降到最低,
- 資訊系統權限之規劃與定義:
- 資訊部應協助使用者部門,依據職務權責及工作職掌制訂資訊系統權限之「作業角色」,以建立符合職務內容之作業權限定義。
- 使用者之所屬主管對於所屬同仁之權限申請審核,應依據「作業角色」定義,確認權限項目與授權範圍。
- 帳號密碼之安全保管規範:
- 被授權人於新取得系統登錄帳號密碼後,應立即變更預設密碼,並妥善保管,不得轉讓及借用。
- 各處部室主管應妥善管理共用帳號之授權狀態,若有被授權人員人事異動或職務內容變更時,應立即變更密碼,以確保資訊安全。
- 能使用雙重驗證之系統,皆須使用雙重驗證方式登入系統,以增加保護機制
- 資訊系統資料安全管理
- 資訊部對於資訊系統資料之輸入、處理、輸出作業應建立以下之保全機制及程序,以保護資訊系統資料安全並於異常回復及系統復原時提供有效救援措施。
- 資訊部應針對各資訊系統指定專人擔任其管理者角色,負責該資訊系統資源存取之作業規劃與權限管理,並為該系統管理者或該系統資料庫帳號密碼之保管人。
- 資訊系統資料保全機制包含:
- 應建置資訊系統資料之備份設施,以作為資料回復之保全機制。
- 資訊部指定人員專責備份作業之執行,包含:
- 備份計畫規劃。
- 資料備份之執行及管理。
- 資料回復之執行及管理。
- 每年進行系統復原演練。
- 資料分級 (Data Classification)
- 為確保公司資料妥善處理、使用、及保存,公司資料分成四級:機密(Confidential)、 限閱(Restricted)、內部使用(Internal Use), 公開資訊(Public) 。
- 所有被定義為Confidential 的資料,任何時間點都要保持在加密狀態。
- 關於資料分級執行細節,由資訊部建立相關作業規範
- 網路通訊安全管理
- 資訊部建立集團網路作業規範及管理程序,以防護網路通訊及資料傳送安全,並作為管控網路存取權限之有效措施。
- 設置企業網路連線網際網路之防火牆設施,以防護企業網路安全並作為管制連線服務存取授權之管理機制。網路系統管理人員應配合公司資訊安全政策及規定的更新,以及網路設備的變動,定期檢討及調整防火牆系統的設定,調整系統存取權限,以反應最新的狀況。
- 基於企業網路安全考量,防火牆對於網際網路之存取授權,預設僅開放必要且低風險之連線服務項目,因業務需求之特定連線服務。
- 電子郵件使用管理:
- 資訊部建立集團電子郵件使用規範,以確保電子郵件之正常運作,並保護公司資產及保障個人權益。
- 資訊部建置電子郵件系統之安全防護機制,以降低資訊安全風險。
- 建置電子郵件病毒防護系統,以保障員工存取電子郵件安全性。
- 建置電子郵件垃圾郵件阻擋系統,以增加工作效率。
- 建置電子郵件備份系統,以確保系統可用性。
- 資訊機房安全管理:
- 資訊機房需管制門禁安全(設置磁卡、IC卡、電子密碼鎖或其他保護裝置),僅限公司內授權人員於執行公務時進入。若有非前述之授權人員進出機房,則需要由公司內授權人員陪同,並於機房日誌中記錄該非授權人員之資訊、進出時間與目的。
- 資訊機房應設置:不斷電系統、消防系統、獨立空調等設施,以維持資訊設備穩定運作之安全環境。
- 機房內禁止抽煙、飲用食物及攜入未經核准之電器或物品。
- 惡意軟體之防護:
- 資訊部統籌規劃及安裝建立偵測、辨識、排除惡意軟體程式之防護措施,以保護集團資訊設施運作安全。
- 導入防毒設備或軟體,並能自動提供最新病毒定義予用戶端。用戶端電腦必須依規定安裝資訊功能所指定的用戶端防毒軟體,且不得私自移除。不定期檢視用戶端電腦之防毒軟體之軟體與病毒碼是否已更新至最新,以確保電腦系統與資料之安全。
- 用戶端電腦於發現異常執行之軟體程式時,應立即回報資訊部進行清除作業,以避免於企業內部網路蔓延散播。
- 用戶端電腦使用人員應具有資訊安全意識並提高警覺,不應該執行未經授權之程式,同時不去點選可疑來源信件之附帶連結或附加檔案。另外當瀏覽網頁時,也須特別注意避免瀏覽非業務需要且風險度極高之網頁,如色情網站或賭博網站等。
- 資訊安全異常事件處理
- 資訊部主管於發生資訊安全重點議題事件時,須呈報權責主管處置建議與行動方案,資訊安全重點議題事件,含:
- 發現有外部入侵企業網路之行為。
- 發現於企業網路內有違反法令規定及影響公司權益與形象之行為。
- 發現於企業網路內有蓄意違反資訊安全規範之行為。
- 資訊安全事件通報流程:
- 當同仁收到或發現資訊安全事件時,應立即通報至資訊部服務專線;或聯絡資訊部指定人員進行處理資訊安全事件之判讀,並於確認影響範圍及程度後,立即展開處理。資訊部同仁一旦接到資安事件通報時,請於第一時間先告知資訊部主管。
- 海外辦公室同仁,請立刻通報當地資訊部同仁,由當地資訊部同仁依照相同原則處理資安事件。當地資訊部同仁一旦接到資安事件通報時,請於第一時間先告知資訊部主管。
- 資訊部人員需於處理完成後,針對處理過程與結果回報給資訊部主管 ,並再通報至集團執行長。
- 資訊部主管於發生資訊安全重點議題事件時,須呈報權責主管處置建議與行動方案,資訊安全重點議題事件,含:
- 災害應變與系統復原作業
- 資訊部對於非預期之災害因素可能導致資訊系統功能無法運作之狀況,應預先規劃應變之復原作業,以降低對企業營運之衝擊。
- 系統復原作業之工作職掌項目:
- 規劃、建置系統復原作業所需之備援設施。
- 管理、維護備援設施之運作。
- 執行系統復原作業。
- 弱點掃描及滲透測試
- 每年執行弱點掃描,找出內部系統的可能潛在風險,並將系統可能的風險做補強。
- 每年執行滲透測試,模擬駭客攻擊,找出資安防護的漏洞並將資安漏洞進行修補。
- 專責人力:設有資安專責主管以及1名資安專責人員,負責公司資訊安全規劃、技術導入與相關的稽核事項,以維護及持續強化資訊安全。
- 認證:本公司已於112 年導入ISO 27001:2022 資訊安全管理系統標準,並定期取得第三方認證,目前證書之有效期為112年11月7日至115年11月7日。
- 教育訓練:為使本集團人員能獲取最新資訊安全相關資訊,並提高其資安意識,全體人員每年至少參與資訊安全教育訓練 2小時之時數,且每年執行至少一次社交工程演練,並針對社交工程演練觸發的人員進行額外半小時之社交工程教育訓練。