Corporate Governance
公司治理
Investor Relations
投資人專區
資通安全管理
隨著網路環境漸趨複雜及數位科技發展,企業面臨資通安全風險日益增高,本公司重視資通安全與機密資訊的保護,為確保公司電腦資訊、資料、系統、設備及網路安全等,避免因人為疏失、蓄意破壞,遭致資訊資產不當使用、竄改、洩漏、損毀等情事,而損及公司營運及投資人的權益,本公司制定資通安全策標準程序,供全體同仁共同遵循。此外,本公司也採取各種技術方法,不定期宣導提升員工資安風險與意識,以降低公司資通安全的風險。
資通安全管理架構
本公司由資訊單位擔任資通安全權責單位,資訊部門主管擔任資訊安全主管,下轄有資訊安全人員,制定資通安全政策暨執行計畫,並推動作業落實與檢討改善,以確保資通安全與作業的適當性及有效性,內外部單位人員均確實遵循公司資通安全政策,共同負責、維護與管理,持續強化保護措施以降低資通安全風險。
稽核室為資通安全之監督單位,每年依據稽核計畫之資通安全檢查項目進行稽核,以評估資通安全的適當性及有效性。稽核結果向董事會進行報告,提供管理階層內部控制功能運作狀況,以便了解已存在或潛在缺失,進而改善及優化。
本公司資通安全管理政策依據ISO27001/CNS27001及相關法令法規之規範,制訂相關作業標準程序,以PDCA持續改善之管理手法,落實資訊基礎建設、資通安全措施,確保公司資訊活動皆維持良好之機密性、可用性、及完整性。
具體管理方案
本公司資通安全政策包含下列項目:
| 面向 | 相關作業 | 執行情形 |
|---|---|---|
| 人員資通安全管理及教育訓練 | 持續建立、宣導及推廣員工資通 安全認知,以提升資通安全水準 | 1. 新進員工應簽署資通安全條款,以瞭解公司對於資通安全之政策及立場。 2. 定期舉辦教育訓練,提升員工對於資通安全的認知程度。 3. 派員參與外部舉辦的資通安全訓練活動,以學習最新的防護機制及攻擊型態,與時俱進。 4. 不定期發送資通安全相關訊息,加強員工對於資通安全的重視。 |
| 資訊系統安全管理 | • 安全管理 • 委外管理 • 異動管理 | 1. 為確保資訊系統之安全,伺服器及同仁工作電腦安裝端點防護軟體,並自動更新病毒碼,以確保系統能夠有效地防禦最新型病毒及入侵,針對重要資訊系統進行監測與追蹤,以保障系統安全。 2. 為有效防止使用者收到垃圾郵件、病毒郵件、或釣魚郵件等有害郵件,公司已設置SPAM郵件過濾伺服器,以濾除不必要的郵件,防止有害郵件進入使用者的信箱,保障系統的資通安全。同時定期更新過濾軟體,以確保系統能夠隨時處於最佳之防禦狀態。 3. 避免外部委外廠商對資訊系統造成損害或洩漏機密資料,外部廠商進行作業前,均需填寫申請單取得授權,並經由資訊部門進行審核後方能進行相關作業。 4. 確保重要資訊系統之運作正常,系統異動作業均由專業同仁及相關廠商同時進行,提升系統異動作業之安全性及穩定性。 |
| 網路安全管理 | • 內部連線管理 • 外部連線管理 • 資料流通管理 | 1. 為加強網路安全,建置集中式威脅管理設備,有效地隔離內、外部網路之間的流量,防止未經授權的流量進出亦能監控及過濾網路流量,即時發現並處理潛在的安全威脅。 2. 資料傳輸過程安全,導入VPN的連線機制,當同仁外部連線需求時,能在安全加密通道使用公司資訊資源,避免資料在傳輸過程被非法擷取破解。 3. 防範駭客非法入侵竊取資料,建置網路應用程式防火牆,可有效阻擋有害的網站存取請求。 4. 重要資訊系統皆已虛擬化,採用自動遷移技術,保證系統運作的高可用性。當伺服器發生故障或問題時,系統能夠自動遷移至其他伺服器,保障資訊系統的營運不中斷。 5. 確保資料安全,定期備份伺服器、資料庫和資料等重要資訊。備份資料存儲於不同的位置,以防止因單點故障導致的資料損毀。此外,測試備份資料的可用性,以確保系統回復時資料的正確性。 |
| 系統存取控制 | • 系統存取政策 • 人員異動管理 • 人員識別管理 • 遠端存取管理 | 1. 重要系統皆需按照授權進行適當的設定,確保系統存取安全且符合授權要求。 2. 增強帳號安全性,設置定期密碼更換規定,亦要求密碼符合一定強度要求,防止帳號遭受破解或非法使用。 3. 應用系統的使用或權限異動都需透過資訊異動申請單進行,並經過權責主管和資訊部主管的審核後方可執行,確保系統的安全和合規性。 4. 使用者依權限擁有相關功能,非相關系統的使用者,無權使用與其業務無關之系統。依各職務、權責分別設定使用者帳號及權限,資料權限皆經主管及權限管理單位核准後始能使用。 5. 同仁離職或調職時,需會辦資訊單位針對相關帳號及權限進行註銷或變更,防止帳號被未授權的人員使用,保障公司資訊資產的安全。 |
| 系統發展及維護安全管理 | • 系統開發管理 • 委外廠商管理 • 委託期間管理 | 1. 軟體開發專案不論自行開發或委外,開發過程均依照軟體專案架構,保留文件及執行內容。 2. 委外開發時,要求委外廠商簽署保密協議書,以避免公司之營業秘密外洩。 3. 簽署明確的合約,包括維護時間、服務範圍、服務標準、風險管理、責任認定等方面的內容,確保廠商能夠按照合約要求進行服務。 |
| 資訊資產安全管理 | • 資訊資產目錄 • 資料輸出管理 | 1. 軟體及硬體列資產清冊控管,保留完整紀錄。每年定期盤點。 2. 重要資料及系統實施異地備援,使備份資料多一層保障。 |
| 實體及環境安全管理 | • 監視系統管理 • 門禁系統管理 | 1. 每年定期進行資通安全審查,以評估系統環境是否符合安全標準和要求。以確保系統環境的安全性和穩定性。 2. 電腦主機、各應用伺服器等均設置於專用機房,機房採用RFID感應式門禁,門禁系統可記錄每次進出時間和人員,以保障機房的安全性和可控性。 3. 機房內設置監視系統。可記錄進出機房的人員,以嚇阻並紀錄可能的破壞行為,並在必要時作為調查的依據。 4. 機房建置機房專用自動滅火系統,自動偵測啟動,採用之滅火氣體不傷資訊設備。 5. 確保資訊系統的連續性和穩定性,機房內設有兩台互為備援的精密型空調,並配合冷通道設計將機櫃封閉於冷空間中,確保冷卻效果,另設置備援空調,多層保障。 6. 在斷電情況下,不斷電系統將自動啟動,保障電腦設備持續運行。 7. 依照程序對電腦報廢進行處理,包括硬碟的拆解破壞或資料抹除等,以確保敏感資訊不被不當使用或外泄,不僅符合資通安全要求,保障公司業務的持續運行。 |
| 永續運作計畫 | • 緊急應變措施 • 永續運作計畫 | 每年執行災難復原演練;選定還原基準點,由備份媒體回存至系統主機,並測試系統運作,以確保緊急應變措施配套正常運作, |
投入資通安全管理之資源
韋僑科技每年投入大量資源於資通安全,如:資通安全訓練及宣導、防火牆、VPN、網路管理、郵件防護、系統及資料備份、門禁及監視系統等,其說明如下:
- 導入雲端備份機制,將重要系統及資料備份至雲端。
- 導入NAC & IP/MAC管理設備,阻止未經授權的設備連入使用網路資源。
- 導入EDR端點偵測及應變軟體,對端點進行主動式掃描偵測、漏洞防護、可疑程式或異常活動行為分析及相關威脅程度呈現,進一步保護員工電腦及伺服器之安全。
- 實施主機弱點掃描、網站滲透測試、網頁弱點掃描、以及行動應用APP基本資安檢測。
教育訓練統計:
| 年度 | 課程 | 參與對象 | 參與人數 | 進修時數/堂 |
|---|---|---|---|---|
| 2022年 | 資訊安全 | 員工 | 21 | 2 |
| 內稽人員對於資訊安全之稽核管控實務(視訊) | 稽核主管及代理人 | 2 | 6 |
假標題假標題
假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文
具體管理方案
假標題假標題
假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文
假標題假標題
假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文
假標題假標題
假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文假內文
