信息安全风险管理架构

由首席安全官担任团队召集人组建信息安全团队,团队包含策略组、技术组及查核组,负责统筹、计画、执行及分析信息安全事件并定期向董事会汇报信息安全相关议题及执行方向。


信息安全政策

  1. 策略组负责研拟信息安全相关计画并推动各项信息安全政策、指导方针及产品或服务导入计画。
  2. 技术组负责指导方针实施、产品及服务测试验证、导入及后续维运支持。
  3. 查核组负责组织内部独立稽核单位于每季审核信息安全政策及各流程是否确实执行并依查核报告提出改善计画及追踪后续执行情况。
  4. 由资安团队依PDCA循环,定期计划并检讨信息安全防护措施。


具体管理方案及投入资通安全管理之资源

  1. 落实个人计算机及服务器防病毒软件端点防护。
  2. 外网防火墙设备应具有应用程序辨识能力,强化外部攻击行为的防御能力。
  3. 内网防火墙,正向表列可存取服务。
  4. 身份识别模块自动区隔员工及访客的身份,区隔存取路径。
  5. 垃圾邮件防护增加进阶威胁防护模块,防护钓鱼信件骗取机敏数据。
  6. 主动告警系统,主动告知威胁发生及设定异动。
  7. 定期报表查核。
  8. 导入二因子验证降低帐密遭窃风险。
  9. 持续社交工程演练,提升员工信息安全意识
  10. 持续提升信息安全人员专业培训,确保作业人员皆符合信息安全标准。
  11. 已通过并取得ISO/IEC 27001:2013验证,证书有效期(2022-12-13 ~ 2025-10-31),线上查询


信息安全管理方案

数据安全是公司在遭遇重大影响时的最后一道防线,故公司除了不断加强信息安全设备及软件的投资外,也持续强化备援措施,这些措施包含:
  1. 本地数据快照,在硬件未受损坏的状况下得以最快的方式复原遭受破坏的数据。
  2. 异地抄写,在30公里以外的地点建立备援中心实时抄写数据,同时建立异地快照双重防护。
  3. 数据备份异地存放,每日全备份并将备份数据取出存放到异地。
  4. 定期演练将主数据中心切换到异地运作,以期在意外发生时能够在最短时间恢复公司营运。

更详尽信息安全内容与未来规划,请参考本集团环境、社会及管治网站。
ESG-Information Security