為提升資訊安全管理,成立嘉彰資訊安全推動組,資安推動組成員包含資安教育組、資安風險組、資安調查組、資安程序組。 資訊安全推動組負責審查嘉彰資訊安全管理策略與發展方向,監管嘉彰資訊安全管理運作情形,定期召開資訊安全管理審查會議,定期向高層主管報告資安治理概況。
資訊安全管理之目標,係為確保本公司資訊資產的合法存取,於可能遭受外力入侵時,亦能提供完整、未中斷之資訊系統運作;於事故發生時,作迅速必要之應變處置後,能在最短時間內回復正常運作,以降低該事故可能帶來之損害與損失。資訊安全委員會定期評估人為災害、天然災害對公司資訊資產之影響,並訂定重要資訊資產及關鍵業務之災害緊急應變計畫,以確保公司業務持續運作。
鑒於目前資訊安全新興威脅,如惡意軟體、DDoS攻擊、勒索軟體、社交工程攻擊、竊取資訊等資訊安全威脅項目,資訊安全推動組持續關注資訊環境變化趨勢,參考外部專家意見或技術期刊,擬定資訊安全應變計畫,每年定期執行資安事件應變演練,強化公司同仁資安意識,強化公司資安應變能力。
1.資安政策:
嘉彰的資訊安全策略是從人員管理、組織管理、制度管理、科技管理中提升資訊安全防護能力,嘉彰資訊安全推動組透過推動教育規範、監督管理、定期稽核及異常處理等流程,落實嘉彰資訊安全治理。
3.實施內容與投入資源:
項次 |
管理方案 |
項目 |
投入資源 |
管理作業 |
一 |
強化網路防火牆與網路控管 |
防火牆設置 |
購置防火牆硬體
持續簽訂維護合約 |
架設內部防火牆,加強安全防範機制 |
軟體新版本及時更新 |
專人定期監控防火牆狀況及 LOG 分析 |
網路管控 |
購置網路管控設備 |
Mac Address鎖定,非公司設備不可使用網路 |
限定網頁存取 |
專人監控網路流量及網頁 |
外賓使用獨立網路區段 |
弱點偵測及滲透測試 |
委外維護 |
外部資安顧問協助 |
資安風險組定期進行偵測 |
二 |
建置端點防毒措施 |
防毒及防駭 |
防毒軟體版本持續更新 |
自動軟體更新設定 |
防毒軟體採購及更新 |
定期病毒及木馬防治宣導 |
郵件主機管控 |
主模組不定期更新
持續維護合約 |
垃圾郵件過濾 |
惡意郵件偵測 |
導入電子郵件SSL憑證 |
三 |
導入新技術加強資料保護及備份 |
密碼管控 |
購置密碼管理軟體並每年持續維護更新 |
定期密碼變更 ,主動提示 |
密碼強度設定 |
加強遠端登入驗證,結合手機 APP 登入 |
軟體管控 |
購置程式管理軟體並每年持續維護更新 |
使用者無法安裝軟體 |
使用合法版權軟體 |
資料管理 |
每年持續簽訂維護合約 |
自動備份作業 |
異地備份作業 |
定期執行備份資料還原演練 |
使用者個人重要資料備份 |
四 |
持續員工資安意識強化 |
教育訓練及宣導 |
教育訓練,每年一次以上 |
新進人員公司資安規範教育訓練 |
定期資安教育訓練 |
調職人員帳號及時處理 |
離職人員帳號及時處理 |
4.資通安全內部查核
每年會進行資訊安全外部審查作業,並依審查結果進行改善作業。本公司稽核每年執行一次資訊循環查核作業,其中資通安全為必要查核項目,並會將查核結果向審計委員會及董事會報告。