資通安全管理
(一)資通安全管理策略與架構
企業資訊安全治理組織:本公司於民國101年成立「資訊安全小組」,並由資訊部部經理擔任召集人,負責資訊安全制度相關事項之決議及建立資訊安全管理架構之安全責任。
於111年03月31日公告設立資安長、資安專責主管及資安專責人員(2員)。
企業資訊安全組織架構: 統一公司「資訊安全小組」,組織架構執掌如下:
企業資訊安全組織架構: 本公司「資訊安全小組」,組織架構執掌如下:
1.資安維運組: 負責資訊安全管理事項之規劃及推動。
2.資安稽核組: 負責資訊安全管理稽核之規劃、執行及改善措施跟進。
3.緊急處理組: 負責營運持續規畫及演練,與災害發生時之應變作業。
「資訊安全小組」持續進行以下工作:
企業資訊安全治理組織:本公司於民國101年成立「資訊安全小組」,並由資訊部部經理擔任召集人,負責資訊安全制度相關事項之決議及建立資訊安全管理架構之安全責任。
於111年03月31日公告設立資安長、資安專責主管及資安專責人員(2員)。
企業資訊安全組織架構: 統一公司「資訊安全小組」,組織架構執掌如下:
企業資訊安全組織架構: 本公司「資訊安全小組」,組織架構執掌如下:
1.資安維運組: 負責資訊安全管理事項之規劃及推動。
2.資安稽核組: 負責資訊安全管理稽核之規劃、執行及改善措施跟進。
3.緊急處理組: 負責營運持續規畫及演練,與災害發生時之應變作業。
「資訊安全小組」持續進行以下工作:
- 配置適當人力資源及設備,負責資訊安全制度之規劃、監控及執行資訊安全維護作業。
- 113年12月26日風險管理小組向審委會及董事會報告風險管理執行成果,資安風險之執行及運作包含在風險控管項目之一,風險管理小組每半年追蹤資安風險控管情形。
- 每年定期檢討資安政策,於113年8月22日內部之管審會討論資安政策,決議事項:「本年度資訊安全政策無須異動」。並決議於114年3月執行ISO 27001:2022資訊安全管理系統之外部驗證,此驗證同時包含既有系統之重審及舊版標準(ISO 27001:2013)至新版標準(ISO 27001:2022)之轉版。
(二)資通安全政策
企業資訊安全管理策略: 本公司已於民國101年建立資訊安全管理體制,建構資訊安全管理四階管理文件,作為公司現行的資訊安全管理作業之依據,此管理作業並符合ISO/IEC 27001:2013資訊安全管理標準,並取得公證第三方之認證,102/4/16開始取得認證,前認證有效期限為108/4/16~111/4/16,重新認證效期為111/4/24~114/4/16。訂定並公告資訊安全政策,依據ISO27001建立資訊安全管理體系並成立資訊安全小組,強化資安防護,並落實執行資訊安全風險評鑑及管理作業,確保公司資訊資產的機密性、完整性、可用性及個人資料的保護。
企業資訊安全管理策略: 本公司已於民國101年建立資訊安全管理體制,建構資訊安全管理四階管理文件,作為公司現行的資訊安全管理作業之依據,此管理作業並符合ISO/IEC 27001:2013資訊安全管理標準,並取得公證第三方之認證,102/4/16開始取得認證,前認證有效期限為108/4/16~111/4/16,重新認證效期為111/4/24~114/4/16。訂定並公告資訊安全政策,依據ISO27001建立資訊安全管理體系並成立資訊安全小組,強化資安防護,並落實執行資訊安全風險評鑑及管理作業,確保公司資訊資產的機密性、完整性、可用性及個人資料的保護。
(三)資訊安全風險管理架構
本公司定期依資訊安全風險評鑑與管理作業程序執行資安風險管理,辨識及分析資安風險與評估其等級,若超過可接受等級將採取風險處理及改善措施,以降低可能面臨之風險,並依循PDCA的管理循環以確保資安目標之達成,進而促使資安持續改善。
規劃(Plan)─ 資安風險管理
本公司定期依資訊安全風險評鑑與管理作業程序執行資安風險管理,辨識及分析資安風險與評估其等級,若超過可接受等級將採取風險處理及改善措施,以降低可能面臨之風險,並依循PDCA的管理循環以確保資安目標之達成,進而促使資安持續改善。
規劃(Plan)─ 資安風險管理
- 企業資訊安全風險評估
- 資訊安全風險管理與對策制訂
- 遵循資安國際標準(ISO27001)
執行(Do)─ 多層資安防護
- 資訊資產管理
- 存取控制
- 實體與環境安全管理
- 網路安全管理
- 資訊安全事故管理
檢查(Check)─ 監控資安管理成效
- 資訊安全持續監控
- 資訊安全指標量化
- 資訊安全弱點掃描
- 資訊安全內部稽核
- 通過資安國際稽核認證
行動(Act)─ 檢討與持續改善
- 資訊安全措施檢討改善
- 資訊安全教育訓練與宣導
(四)具體管理方案
- 導入廠區間的內網連線SD-WAN。
- 內網ServerFarm防火牆啟用,提升伺服器的資安防護。
- 防火牆 AntiVirus & IPS Updates 更新頻率加強為每小時一次,提升防護能力。
- 防範惡意電子郵件社交工程演練。
- 備援網路切換演練。
- 針對資訊部重要系統主機與管理者電腦安裝MDR。
- 對外網頁弱點掃描。
- 重要主機、網路設備弱點掃描。
- 防毒軟體版本依廠商發布的修補程式即時升級。
- Oracle資料庫升級。
- 嚴格審查帳號權限授予申請,並定期執行帳號權限審查。
- 加入TWCERT、資安情資因應與所揭示漏洞修補。
- 升級Forti網路防火牆設備的版本,提升網路資安防護力。
- 依據證交所「上市上櫃公司資通安全管控指引」推動資通安全防護及管理機制強化;證交所的資安訊息提醒公告進行因應處置。
(五)投入資通安全管理之資源
- 及強化資安意識宣導:同仁資安教育訓練課程6場,電子郵件資安宣導12次(每月),員工開機畫面資安提醒(每日)
- 軟體盤點:每年一次,以保證合法使用授權軟體及防範惡意軟體。
- 端點防護:每週檢查病毒碼更新,每週檢查微軟作業系統更新。
- DR演練:定期備份資料回復測試至少每半年1次,核心系統定期災難復原演練每年1次。
- 主機弱掃:每年兩次主機弱掃,修補資安漏洞。
- 3W網站(統一企業員工入口網)公告:按資安最新案例不定期公告提醒及教育員工注意,計9次。
- 資安相關重要會議:管審會2次,資安小組會議4次。
- 資安專責單位:4人(資安長 * 1、資安專責主管 * 1、資安專責人員 * 2)
(六)民國112年企業資訊安全措施推動執行成果
- 113/2/29經外部單位實地定期審查,ISO27001證書持續有效中。
- 新增修訂資安規範共25份 。
- 113年資安教育訓練時數共計3955小時,1764人次
(七)重大資通安全事件
113年10月進行資安風險評鑑作業,評鑑結果113年本公司並無影響營運風險的重大資安事項。
113年10月進行資安風險評鑑作業,評鑑結果113年本公司並無影響營運風險的重大資安事項。