首頁 | 永續經營 | 風險管理 | 資訊安全政策

資訊安全政策

資訊安全管理架構

本公司資訊安全之權責單位為資訊安全部，該部門設有資訊安全主管及多位專業資訊安全人員，負責訂定內部資訊安全政策、規劃暨執行資訊安全作業。
本公司已於2021年3月2日，成立「資訊安全管理委員會」，審視公司資訊安全政策與監督資訊安全運作情形。目前由管理總處執行副總擔任資安委員會主席，成立跨部門小組，加強對於資訊安全工作的橫向溝通，以利資訊安全政策的推動與落實，並定期向董事會報告資訊安全執行成果，最近一次對董事會報告日期為2024年11月11日。

「資訊安全管理委員會」組織圖

「資訊安全管理委員會」組織運作模式

採PDCA（Plan-Do-Check-Act）循環式管理，確保目標之達成及持續改善。

資訊安全政策項目與安全具體管理方案

資訊安全政策：

確保營運及服務提供流程中之資訊機密性、完整性及可用性，並符合相關法規之要求，以降低本公司面臨之內外部資訊安全風險。

資訊安全目標 Information Security Objectives：

為強化本公司資訊安全管理，以期整體資訊業務順利進行：

確保資料之機密性，防止非法使用。
確保資訊系統之可用性及安全性。
確保資訊業務運作之有效性及持續性。
遵守法令規範。

資訊安全管理措施：

本公司實施之資訊安全管理措施，包含如下，其類別 / 風險說明 / 控制措施詳如下列：

權限管理	人員帳號與權限授權管理人員帳號權限管理與審核人員帳號權限定期覆核人員密碼定期更換
存取管控	人員存取內/外部資源、及資料傳輸控制內/外部網路連線與存取管控機制電腦軟體安裝權限管制
外部威脅	病毒入侵防護主機及電腦弱點偵測/定期掃描/病毒碼定期更新防火牆入侵偵測/病毒/惡意程式防護連外網頁安全過濾
系統可用性	系統與服務中斷預防資料本地/異地備份措施，本地/異地機房備援每年定期災害復原演練
郵件安全管理	郵件防護郵件存取管控結合MFA多重身份認證郵件病毒防護及惡意程式偵測郵件惡意連結保護，避免網路釣魚防垃圾郵件過濾
本公司鑒於資安險為新興保險種類，考量保險範圍、理賠範圍、理賠鑑識、鑑識機構資格、適用行業等議題綜效，目前先將資源投入在提高資安成熟度；降低資安風險。但為強化應對日新月異的資訊攻擊事件，除了透過定期檢查防火牆安全政策、防毒軟體之病毒碼定期更新、與定期備份資料於異地外，對於災害復原演練訂於每年施作，以確保備份機制之正常運作，並能符合系統復原目標。

資訊安全執行情形

2024年度資訊安全風險管理執行情形如下 :

管理制度與合規性強化 :
ISO27001導入專案-幫助公司建立系統化的資訊安全管理體系，透過風險管理、資料保護及持續改進等措施，有效降低資安風險，提升合規性和信任度，保護公司重要資訊資產防止外洩，已於9月29日通過ISO27001: 2022認證。
存取控制與端點防護升級 :
1. 限制個人裝置【手機、平板、私人筆電…等】存取公司內部網路，防止個人設備直接接觸公司內部的敏感數據，從而減少數據洩露的風險。
2. 新增內網防火牆，提升伺服器的防禦能力，有效阻擋未經授權的訪問與潛在威脅。
3. 加強外部顧問的遠端連線管理，實施更嚴謹的管控措施，並全程記錄與監控，以確保連線安全，及所有行為符合法規與政策要求。
資訊安全意識提升 :
1. 資安訓練：
  - 完成新進同仁資訊安全教育訓練。
  - 全體同仁教育訓練並於課後進行課後測驗。
  - 資訊安全專責人員完成12小時「工研院-中級資安與防護實務」課程，提升專業能力。
2. 社交工程演練：
  2024實施2次社交工程演練，透過社交工程演練，幫助同仁建立資安意識，並針對上鉤的位同仁進行教育訓練及測驗。
VPN存取安全強化 :
1. 調整VPN存取範圍，僅開放必要系統，避免過度授權造成風險。
2. 多因子身份驗證（MFA）擴展: 擴大MFA的導入範圍，擴大導入到子公司，強化集團遠距辦公的安全性。
3. 僅允許使用公司核發的設備，透過VPN存取ERP系統，有效阻擋未授權裝置進入內部網路，降低數據外洩風險。
主機與端點安全強化：
擴大 MDR（Managed Detection and Response）系統的部署範圍，全面覆蓋總部所有伺服器已完成部署，即時監控未經授權的存取行為和內部潛在威脅活動，避免系統遭受入侵或勒索加密風險。
資訊安全風險鑑別 :
1. 漏洞修補：為因應駭客入侵手法的演進，2024年持續針對成霖總部核心系統及集團所有子公司進行主機定期弱點掃描，並排定修補計畫，因版本老舊存在風險的系統則評估升級。
2. 採用知名網域檢測平台定期對公司網域進行多維度的安全性檢測，涵蓋端點安全性、IP信譽、修補時效性、應用程式安全性等十大面項關鍵指標，持續追蹤並改善關鍵風險。