資訊安全政策

資訊安全管理架構

  • 本公司資訊安全之權責單位為資訊安全部,該部設置資訊主管乙名,與專業資訊人員數名,負責訂定內部資訊安全政策、規劃暨執行資訊安全作業。
  • 本公司已於2021年3月2日,成立「資訊安全管理委員會」,審視公司資訊安全政策與監督資訊安全運作情形。目前由管理總處執行副總擔任資安委員會主席,成立跨部門小組,加強對於資訊安全工作的橫向溝通,以利資訊安全政策的推動與落實,並定期向董事會報告資訊安全執行成果,最近一次對董事會報告日期為2023年11月6日。

「資訊安全管理委員會」組織圖

「資訊安全管理委員會」組織運作模式

採PDCA(Plan-Do-Check-Act)循環式管理,確保目標之達成及持續改善。

資訊安全政策項目與安全具體管理方案

資訊安全政策:

企業的永續經營與運作,資訊系統已是不可缺少的一環。近年來,各國內外大小企業頻傳資訊安全事件,如:相關的勒索軟體、惡意軟體、商業郵件詐騙、惡意網域名稱…等,都對企業造成了鉅大的損失。為此,本公司制定了相關因應的資訊安全政策,確保本公司之營運順利運作,防止資訊或資通系統受侵害,並維護公司資料之完整及機密性。

對資訊安全的管理機制、措施與資訊事件通報程序,敍述如下。

資訊安全管理機制:

本公司資訊安全管理機制,包含以下四個面向:

  • 資訊政策的制定:訂定公司資訊安全作業管理辦法,明確訂定人員對於資訊作業的行為。
  • 資訊科技的運用:建置資訊安全管理設施,並持續提升與汰換軟、硬體資訊設施,以符合當前資安風險控管。
  • 資安宣導與訓練:於公眾集會與信件中,持續對人員進行資訊安全宣導與教育訓練,提昇全體同仁對於資安意識。
  • 資安稽核與改善:本公司稽核部門定時稽核資訊安全部,針對資安與網路風險以風險評估之流程進行風險評估,適切提出控制點建議,資訊安全部依此作調整與改善,並針對評估後之高風險系統進行對應的管理機制,以利控管資安風險。

資訊安全管理措施:

本公司實施之資訊安全管理措施,包含如下,其類別 / 風險說明 / 控制措施詳如下列:
權限管理人員帳號與權限授權管理
  • 人員帳號權限管理與審核
  • 人員帳號權限定期覆核
  • 人員密碼定期更換
存取管控人員存取內/外部資源、及資料傳輸控制
  • 內/外部網路連線與存取管控機制
  • 電腦軟體安裝權限管制
外部威脅病毒入侵防護
  • 主機及電腦弱點偵測/定期掃描/病毒碼定期更新
  • 防火牆入侵偵測/病毒/惡意程式防護
  • 連外網頁安全過濾
系統可用性系統與服務中斷預防
  • 資料本地/異地備份措施,本地/異地機房備援
  • 每年定期災害復原演練
郵件安全管理郵件防護
  • 郵件存取管控結合MFA多重身份認證
  • 郵件病毒防護及惡意程式偵測
  • 郵件惡意連結保護,避免網路釣魚
  • 防垃圾郵件過濾
本公司鑒於資安險為新興保險種類,考量保險範圍、理賠範圍、理賠鑑識、鑑識機構資格、適用行業等議題綜效,目前先將資源投入在提高資安成熟度;降低資安風險。但為強化應對日新月異的資訊攻擊事件,除了透過定期檢查防火牆安全政策、防毒軟體之病毒碼定期更新、與定期備份資料於異地外,對於災害復原演練訂於每年施作,以確保備份機制之正常運作,並能符合系統復原目標。

資安事件通報程序 :

本公司資通安全通報程序如下,資安事故之通報與處理,皆遵守該程序之規範進行。

資訊安全執行情形

2023年度資訊安全執行情形:

  • 資訊安全意識提升 :
    1. 資安訓練:
      • A. 新進同仁資訊安全教育訓練共18人次完成。
      • B. 全體同仁教育訓練並於課後進行課後測驗,總計共144人次參與修課。
      • C. 資訊安全專責人員2023年度完成30小時以上資訊安全專業課程。
    2. 社交工程演練:
      • A. 2023實施2次社交工程演練,透過社交工程演練,建立同仁的資安意識。
      • B. 針對上鉤的同仁進行教育訓練及測驗,其總時數為486.5小時。
  • 資訊安全風險鑑別 :
    1. 弱點掃描:為因應日新月異的駭客入侵手法,2023年針對成霖總部及集團所有子公司進行主機定期弱點掃描,並排定修補計畫。
    2. AD網域安全性檢測:透過AD網域診斷工具針對集團所有網域主機進行安全性檢測,找出存在AD群組原則中的風險,並針對11項網域高風險指標進行修補。
    3. 專線網路安全性強化:加強台灣與所有子公司專線端口防護,增設專線防火牆,避免網路攻擊橫向擴散。
    4. Globe Union網域安全性檢測:2023年聘請第三方資安顧問,針對Globe Union 網域10大類別風險層面進行安全性檢測,6大類別(端點安全性、IP信譽、CUBIT分數、駭客談論、資訊洩漏、社交工程) 皆100%通過安全性檢測,目前針對4大類別 : 網路安全(Network Security)、網域名稱健康度(DNS Health)、修補即時(Patching Cadence)、應用程式安全性(Application Security)進行修補。
  • 端點安全風險強化 :
    1. 導入MDR(託管式偵測及回應),強化關鍵系統與端點全方面保護 。
  • 資訊安全資料保護 :
    1. 持續營運運作-災害復原演練:執行虛擬化系統、骨幹網路復原演練,確保備份資料可用性。
    2. 重要系統資料異地備份,降低因地端發生災害造成資料遺失風險。