展碁國際資通安全管理資訊

資通安全風險管理架構

本公司資通安全之權責單位為資訊管理處,負責規劃、執行及推動資通安全管理事項,宣導資通安全訊息,提升全體員工的資通安全意識,持續關注相關技術、產品資訊新聞,維持資通安全管理系統的有效性。

本公司於2022年11月23日成立資訊安全管理委員會,委員會組織圖如下:

資安管理委員會由三位一級主管組成,直接向總經理報告,其下設有資安召集人1人,資安管理組3人。

內部稽核由稽核室負責,每年定期就內部控制制度電腦化資訊系統處理循環進行稽核,並針對資訊安全作業的執行狀況進行查核,確保公司資通安全管理的有效性。

於2023/11/18召開資安管理委員會議,進行討論通過”資訊安全管理制度相關程序書與管理辦法”。

 

資通安全政策

本公司參考ISO 27001:2013條文及資通安全管理法等規定,擬定本公司資訊安全管理制度相關程序書與管理辦法,於2023/11/18召開資安管理委員會議進行審閱通過,並於2024/1/1送總經理核准發行。

本公司資通安全政策目標如下:

  • 維護本公司資訊資產之機密性、完整性與可用性,以符合公司內外部相關利益團體(個人)之要求與期盼。
  • 保護本公司各部門業務活動資訊,避免未經授權的存取。
  • 保護本公司各部門業務活動資訊,避免未經授權的修改,確保其正確與完整。
  • 建立跨部門之資訊安全組織,制訂、推動、實施及評估改進資訊安全管理事項,確保本公司具備可供業務正常持續運作之資訊環境。
  • 確保本公司各部門之業務活動執行符合相關法令或法規之要求。

 

具體管理方案

項目

具體執行措施

設備安全防護
  • 本公司資訊機房設置於宏碁雲架構服務股份有限公司位於桃園市龍潭區的專業EDC機房,設有嚴格門禁管制系統,並保存進出紀錄存查。
  • 個人電腦安裝防毒軟體,定期掃描與自動更新。
  • 伺服器及個人電腦安裝端點偵測與回應系統(EDR),提升設備安全性。

網路安全管控
  • 配置企業級防火牆,阻擋駭客非法入侵,每年定期檢查防火牆相關設定,稽核每年進行查核。
  • 本公司各營業據點通訊採用VPN連線,確保通訊安全。
  • 同仁於遠端欲存取公司內部資源須申請專屬VPN權限。
  • 委託資訊安全公司監控異常網路通訊,每年進行2次系統與網路弱點掃描。

存取控制
  • 同仁存取公司資源均須使用個人專用帳號。
  • 帳號所使用的密碼設有複雜度、長度及使用歷程限制,並強制要求定期變更密碼。
  • 同仁存取各應用系統需依權限申請程序申請使用授權。
  • 人員離(休)職時,會通知資訊部門進行帳號刪除或停用作業。

資安宣導與教育訓練
  • 針對新進人員實施資訊安全教育訓練。
  • 不定期發布資訊安全宣導訊息,強化人員資安意識,2023年共發布4則資訊安全宣導訊息。
  • 指派資通安全管理人員參加資訊安全培訓課程與講習,2023年指派資安召集人參加由國家資通安全研究院與國立台北科技大學共同舉辦的【資安長 | 高階領導班】課程,並取得結訓證書。
  • 加入TWCERT/CC組織,定期取得最新的資安情資。

持續營運
  • 重要系統配置備援設備。
  • 資料每日定期備份,並有異地存放機制。
  • 每年定期實施復原演練。

 

投入資通安全管理之資源

本公司為確保資通安全,每年投入的資源如下:

  • 建置網路安全防護設備,如防火牆、網路日誌分析系統。
  • 專業資訊機房租用。
  • 資訊安全管理服務。
  • 防毒軟體。
  • SSL VPN服務。
  • 端點偵測與回應系統。