風險管理執行情形
風險管理執行情形
| 年度 | 標題 | 檔案 |
|---|---|---|
| 2022 | 風險管理 |  |
氣候變遷風險及機會之管理(TCFD)
| 年度 | 標題 | 檔案 |
|---|---|---|
| 2022 | 氣候變遷管理 | |
資訊安全風險管理架構
本公司資訊安全之權責單位為資訊室,負責規劃、執行及推動資訊安全管理事項,並定期透過教育訓練提升人員資訊安全意識,另會計師定期派員查核本公司資訊系統。
資訊室主管需不定期向總經理彙報資訊安全執行狀況,並每年定期向董事會報告資訊安全執行成果。
組織運作模式-採 PDCA(Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善。
資訊安全政策
為落實本公司各項資訊資產能有效運作執行,確保資訊傳輸交易安全,降低資訊安全事件造成之損害,並保障公司電腦處理資料之機密性與完整性,定義員工責任及應遵守的安全規則、權限管理、資安事件通報程序、資訊交換程序,本公司資訊安全管理機制,包含以下三個面向:
一、制度規範:訂定公司資訊安全管理制度,規範人員資訊安全行為。
二、科技運用:建置資訊安全管理設備,落實資安管理措施。
三、人員訓練:進行資安教育訓練,社交工程演練,提昇全體同仁資安意識。
具體執行方案
| 類別 | 說明 | 相關措施 |
|---|---|---|
| 權限管理 | 人員帳號、權限管理、與系統操作行為之管理措施 |
●人員帳號權限管理與審查。 ●特權帳號兩階段認證。 |
| 存取控制 | 人員存取內外部系統、及資料傳輸管道之控制措施 |
●內/外部存取管控措施 ●人員遠端存取行為限制 ●外接儲存裝置管制 |
| 外部威脅 | 防毒、防駭措施 |
●定期掃毒與偵測惡意程式 ●設置次世代網路防火牆 ●端點防護 |
| 營運維持 | 系統可用狀態、與服務中斷時之處置措施 |
●系統/網路可用狀態監控及通報機制 ●服務中斷之應變措施 ●資料備份備援措施、本/異地備援機制 ●定期災害還原演練 |
資安事件通報程序
111年度執行情形如下:
一、汰換無法更新漏洞主機:
1.公司現有約316台電腦、103台筆電、225精簡電腦,汰換2台近10年的電腦。
2.汰換埔心、北營防火牆,共4台。其餘廠區升級韌體並調整策略。
二、漏洞及軟體更新(統計資料:今年01.01~12.08)
1.防毒版本更新次數:20次。
2.Windows10安全性更新次數:76次。
3.因微軟停止Windows7漏洞更新,公司Windows7共293台。已完成272台升級到Windows10,還有21台還未升級。
4.Exchange漏洞修補次數:9次。其中4次零時差修補,皆第一時間完成。
5.Chrome零時差漏洞修補次數:7次。
三、資安防護(統計資料:今年01.01~12.08)
1.已知病毒攻擊共971次,其中20%是惡意攻擊病毒。
2.未知病毒攻擊共661次,其中20%危險等級高。
四、加強防護
1.導入SOC監控服務 (Security Operation Center):透過AI分析關聯網路行為、依據最新的資安威脅情報,調整防護策略。
2.增加雙因子認證服務範圍:伺服器主機、重點使用者電腦及VPN。
五、教育訓練
1.資訊同仁共3人取得資策會資安初級工程師證書(iPAS)。
2.社交工程演練每次針對公司300個使用者帳號作演練,並請專家進行1次資安講習宣導,各單位派出種子人員進行上課,共21人次計42小時。
六、今年無重大資安事件。
112年度預計執行計畫
1.導入ISO 27001,預計7月前實地訪查,9月前取得證書。
2.委請資安廠商進行弱點掃描與滲透測試。
3.內網導入零信任架構。