敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源
資通安全風險管理架構
(一)資通安全組織架構
為推動本公司之資通安全相關政策、落實資通安全實作及稽核要求,建立「資通安全推動小組」,轄下設置「資通安全處理小組」、「文件管制小組」和「資通安全稽核小組」,組織架構如下圖所示:
圖 1、資通安全推動小組組織圖
資通安全推動小組總召集人由本公司總經理擔任,資通安全推動小組推行委員由召集人指派,推動小組職責如下:
(1) 視需要召開跨單位之資源協調會議,負責協調資訊安全管理制度執行所需之相關資源分配。
(2) 督導資訊安全管理下列工作項目:
- 資訊安全管理活動督導。
- 緊急應變活動與事故處置。
- 資訊安全持續改善活動。
- 每年至少一次審核與確認矯正與風險處理措施之執行與成效追蹤。
- 負責績效管理方案之審查及執行情形之追蹤。
(二)資訊安全風險管理機制
為確保本公司資訊安全所面臨之相關風險得以控管,特訂定「資訊風險評鑑作業標準」,以系統化方法建立資訊安全風險管理作業標準,以明訂資訊安全風險管理執行方式,將資通訊系統與服務,依其為公司營運帶來之價值、存在弱點、所面臨威脅種類、衝擊程度與發生機率等,進行風險管控。以原碼掃描、弱點掃描、滲透測試等資安檢測,進行防護強度審查,透過風險管理與持續改善過程,降低駭侵團體與人為疏失之威脅,建立符合法令法規、保護客戶個人資料與企業經營機敏資料之資通安全環境。
(三)資安事件緊急通報與應變程序
本公司訂定「資訊安全事件暨事故作業標準」,提供「資通安全推動小組」所指派之「緊急應變執行小組」於發生資安事件時有所依據,以確保本公司於發生資訊安全事件時能依程序評鑑資訊安全事件分級以判斷是否為資訊安全事故、迅速依通報程序進行通報,並採取適當必要之處理或應變措施,以降低事故可能帶來之損害及避免類似事故再次發生。同時每年透過實地演練讓負責同仁熟稔通報與處理程序,提升同仁對於資安風險之危機意識,並定期舉辦資安風險認知訓練,落實資通安全管理措施之有效性。
資通安全政策
根基營造為確保本公司及轄下子公司及關係企業之資料、資訊系統、設備及網路之安全,防範組織之營運受到資安事件之衝擊,以確保公司的業務與服務持續,並降低運營風險和達成投資回報效益最大化,特訂定本政策。
(一)資通安全目標
(1) 保護資訊安全,確保可有效維持本公司所保管客戶資料及本公司資訊資產之機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。
(2) 維持核心業務相關之資訊系統持續運作。
(3) 保障資訊安全相關資源充足。
(4) 防止本公司核心業務相關之資訊系統遭駭客、病毒等入侵及破壞,或人為意圖不當及不法使用。
(5) 遵守相關法律與規範。
(二)政策內容
(1) 本公司依據可能影響資通安全的內外部議題,與關注方對於資通安全之要求事項,擬定完整的資通安全作業管理制度。
(2) 本公司各項資通安全作業管理制度必須遵守適用之政府相關法規(如:上市上櫃公司資通安全管控指引、資通安全管理法、個人資料保護法等)之規定。
(3) 本公司應建立符合策略、風險、法令、法規及契約要求的資通安全目標,並依其制訂資訊安全管理績效指標,以確認策略及目標達成之有效性。
(4) 為確保資訊安全管理系統之落實,本公司應提供相關資源,並分配適當權責。
(5) 本公司所有委外廠商應遵循本政策以及相關程序之規定,未經授權不得使用本公司之各類資訊資產及系統。
(6) 本公司所有人員負有維持資通安全之責任,且應遵守公司相關之資通安全管理相關規範。
(7) 各子公司資訊單位應建立資通安全作業管理程序,定期或不定期檢視公司資通安全政策與監督資通安全運作情形,並每年定期向董事會報告資通安全執行成果。
(8) 本公司應適時因應法令與技術之變動,調整資通安全維護之內容,以避免資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其符合資訊安全之機密性、完整性及可用性之要求。
(9) 本公司應強固核心資通系統之韌性,訂定資通安全之營運持續計畫並實際演練,確保本公司業務持續營運。
(10) 本政策應以書面、電子郵件或其他方式告知本公司員工及與接觸本公司業務之相關利害團體及提供資訊服務之廠商共同遵行。
(11) 違反本政策與資訊安全相關規範,依相關法規或本公司規定辦理,並視情節追究民事、刑事及行政責任。
具體管理方案
(一)設置資訊安全專責主管及資安專責人員數名,同時為經濟部台灣CERT/CSIRT聯盟及台灣CISO聯盟會員。
(二)加入TWCERT 資安聯盟,不定期收到資安情資,強化資安聯防與提升員工資安意識。
(三)定期執行弱點掃描、滲透測試與電子郵件社交工程等,持續強化資安防護能力之強度。
(四)每年舉辦個資保護與資安教育宣導課程供並指定為全體員工必修項目。
(五)對內部軟體開發上版前執行源碼掃描,須通過資安檢測後方可佈署於生產環境。
(六)導入ISO 27001:2022 ISMS系統並持續取得證書,讓本公司資通安全制度規範遵循國際標準之要求。
(七)與第三方服務廠商簽訂之服務合約中,要求其遵守保密及資安規定,若發生資安事件時,委外服務廠商須立即解決網路攻擊所造成的技術性問題,並確保本公司與消費者的數據機密性、完整性及可用性。
投入資通安全管理之資源
本公司積極推動資訊應用與數位轉型,同時也相當重視資通安全與個人資訊之防護, 112 年度編列約新台幣 1,770 萬之預算(平均每位員工 2.9 萬)於資通安全相關軟硬體之建置與資安強化服務,其中包含但不限於以下項目:
(一)電腦防毒軟體及端點防護系統(EDR)
(二)導入使用者電腦之特權存取管理系統
(三)建置裝置身分識別系統,針對非公司設備實施存取管制
(四)導入個資外洩防護軟體(DLP)
(五)全面實施多因素身分驗證(MFA+生物辨識)機制
(六)電子郵件安全防護系統
(七)建置SIEM資訊安全事件管理系統,強化資訊服務監控能力
(八)電腦軟硬體資產管理系統
(九)每年實施數次社交工程演練及資安通識教育訓練
(十)每年委託外部資安專業顧問針對資訊系統實施弱點掃描及滲透測試,並依據測試結果進行修正