資訊安全政策
為保障聯策科技股份公司(以下簡稱「本公司」)資訊資產的機密性、完整性和可用性,防範來自內外部的威脅,確保業務運行的穩定性,爰依「上市上櫃公司資通安全管控指引」規定訂定本政策,以資遵循。 二、 範圍 用於全體員工、承包商、合作夥伴及其他訪問公司資訊資產的第三方,涵蓋公司所有資訊系統、網路、資料及相關資產。
二、 範圍
用於全體員工、承包商、合作夥伴及其他訪問公司資訊資產的第三方,涵蓋公司所有資訊系統、網路、資料及相關資產。
三、 目標
1. 保護資訊資產:保障機密性、完整性及可用性,防止未授權訪問與修改,確保資料可用。
2. 法規遵循:遵守法律與標準,持續更新政策,確保合規,避免風險。
3. 提升安全意識:定期培訓,增強員工安全意識,確保履行責任。
4. 業務連續性:實施安全控制與應急計畫,確保事件中業務持續運行。
5. 客戶滿意:滿足資訊安全需求,提供可靠服務,增強客戶信心。
四、 資訊安全管理架構
2. 法規遵循:遵守法律與標準,持續更新政策,確保合規,避免風險。
3. 提升安全意識:定期培訓,增強員工安全意識,確保履行責任。
4. 業務連續性:實施安全控制與應急計畫,確保事件中業務持續運行。
5. 客戶滿意:滿足資訊安全需求,提供可靠服務,增強客戶信心。
本公司成立資訊安全管理小組,由資訊安全長擔任召集人,全面負責推動、協調和監督各部門的資訊安全管理工作,每年至少向董事會彙報一次資安治理狀況。
1.資訊安全管理組織
1.資訊安全管理組織
2.資訊安全管理組織權責
|
職稱
|
權責說明
|
|
召集人
|
由本公司資訊安全長擔任,負責協調各部門制定及執行資訊安全政策和目標,並進行相關管理作業。召集人需主持會議,公告及宣導資安議題,並在管理階層或董事會報告資安執行情況。
|
|
資訊安全專責主管
|
由召集人指派的專人擔任,主要負責本公司內資訊安全管理。專責主管需掌握並回報資訊安全狀況,針對外部資安管控要求進行應對,並處理相關事件。
|
|
資訊安全稽核單位
|
由稽核室指定專人擔任,除負責資安推動委員會的稽核外,還需評估及執行本公司內外部的資訊安全稽核任務,以確保資安工作符合規範。
|
|
資訊安全推動單位
|
由相關單位部門主管擔任,負責配合資安推動委員會的要求,積極推動及執行本公司內部的資安管理工作,確保資安目標與決策相一致。
|
|
資訊安全文件管制單位
|
由文件管理部門擔任,負責管理與控制資訊安全相關文件的存檔與版本,並提供最新版本給相關部門使用。
|
|
資訊安全管理單位
|
由本公司資安負責部門擔任,負責日常資訊安全管理、紀錄、因應及維護,確保資安管理工作的持續性。
|
五、 具體管理及防護措施
1. 資訊系統安全與管理
1.1 設立資訊系統控管機制,確保系統與網路安全,防止未授權存取,並指定專人負責資訊資產管理,於每年定期進行弱點掃描,識別並修補系統漏洞及定期辦理滲透測試。
1.2 依各業務範圍、權責分別設定使用者之帳號及權限,並設定密碼編碼之規則、定期更改密碼、帳號停用、檔案加密等措施。
1.2 依各業務範圍、權責分別設定使用者之帳號及權限,並設定密碼編碼之規則、定期更改密碼、帳號停用、檔案加密等措施。
2. 惡意軟體與電腦安全: 嚴禁使用未授權軟體,安裝並定期更新病毒偵測與修復軟體,確保系統與防毒軟體穩定運行,防範潛在威脅。
3. 網路與電子郵件安全: 每日檢查網路設備,授權使用者方可存取網路資源,並透過防火牆控管資料傳輸、管理電子信箱帳號、過濾垃圾郵件、加密連線等措施,降低安全風險。
4. 資料備份與災難復原: 設立備份與異地備援計劃,定期進行災難復原演練,確保在突發事件中能迅速應急反應,保障資料安全。
5. 機房安全管理及環境維護。
6. 嚴格控制機房門禁,僅授權人員可進入,並對系統管理和操作進行詳細記錄。
3. 網路與電子郵件安全: 每日檢查網路設備,授權使用者方可存取網路資源,並透過防火牆控管資料傳輸、管理電子信箱帳號、過濾垃圾郵件、加密連線等措施,降低安全風險。
4. 資料備份與災難復原: 設立備份與異地備援計劃,定期進行災難復原演練,確保在突發事件中能迅速應急反應,保障資料安全。
5. 機房安全管理及環境維護。
6. 嚴格控制機房門禁,僅授權人員可進入,並對系統管理和操作進行詳細記錄。
7. 資安政策宣導與訓練:
7.1 定期宣導資安政策,並每年舉辦社交工程演練,以提升全體員工的資訊安全意識。
7.2 資訊安全人員及資訊安全主管,宜每年進行資通安全專業課程訓練或資通安全職能訓練。
7.2 資訊安全人員及資訊安全主管,宜每年進行資通安全專業課程訓練或資通安全職能訓練。
六、 資安情資交流
1. 加入資通安全情資分享平臺,並與業界定期交流資安情資,以獲取最新的威脅情報,增強公司防範能力。
2. 持續關注新的資安資訊、技術,將防禦或管理手法與時俱進,以有效阻擋新型態的資安威脅,降低營運的風險。
2. 持續關注新的資安資訊、技術,將防禦或管理手法與時俱進,以有效阻擋新型態的資安威脅,降低營運的風險。
七、 定期辦理資安稽核,並就異常事項擬訂改善措施,且定期追蹤改情形。
八、 資通系統盤點及風險評估
八、 資通系統盤點及風險評估
1. 定期盤點資通系統,並建立核心系統資訊資產清冊,以鑑別其資訊資產價值。
2. 定期辦理資安風險評估,就其可能遭遇之資安風險,分析其喪失機密性、完整性及可用性之衝擊,並執行對應之資通安全管理面或技術面控制措施等。
2. 定期辦理資安風險評估,就其可能遭遇之資安風險,分析其喪失機密性、完整性及可用性之衝擊,並執行對應之資通安全管理面或技術面控制措施等。
九、 資安事件應變處理及通報
1. 當發現或懷疑發生資訊安全事件時,發現人員應根據事件情況,迅速通報相關的資訊安全管理單位,並告知其直屬主管。
2. 資安事件之記錄、分級、通報、應變處理,權責單位應依「資安事件應變處置及通報作業程序」記錄相關資訊並進行事件研判及後續之應變處理。
3. 如啟動重大資安事件通報,依相關規定進行重大訊息通報。
4. 事件發生後,依「資安事件應變處置及通報作業程序」,辦理後續事件追蹤調查、檢討改善會議。
2. 資安事件之記錄、分級、通報、應變處理,權責單位應依「資安事件應變處置及通報作業程序」記錄相關資訊並進行事件研判及後續之應變處理。
3. 如啟動重大資安事件通報,依相關規定進行重大訊息通報。
4. 事件發生後,依「資安事件應變處置及通報作業程序」,辦理後續事件追蹤調查、檢討改善會議。
十、 本辦法經董事會核准後實施,修改時亦同。
2024 資訊安全維護投入資源
為全面提升本公司對重大資安事件的預警與應變能力,並強化整體資訊通訊環境之防護韌性,本公司已正式加入 TWCERT/CC(臺灣電腦網路危機處理暨協調中心) 所推動的資安聯盟(CERT/CSIRT 聯盟)會員,持續接收國內外最新資安威脅情報與應變資源,並積極參與聯防協作,強化資安防禦效能。
2024 年度本公司針對資訊安全領域投入多項防護資源,合計總金額達 新臺幣 152 萬元,涵蓋範圍如下:
|
項目
|
資訊安全維護對象或內容
|
|
資安防護軟體
|
導入 MDR 威脅偵測與應變服務,提供異常行為分析與事件即時處理能力
|
|
防毒軟體
|
部署企業級防毒解決方案,阻擋惡意程式、病毒及勒索軟體威脅
|
|
防火牆 UTM 系統
|
建置總公司與各子公司防火牆與 UTM 系統,強化邊界防禦與異常流量過濾
|
|
郵件管理系統
|
實施郵件稽核與過濾機制,降低釣魚攻擊與社交工程入侵風險
|
|
備份系統
|
建構異地與雲端備援架構,提升資料備份完整性與災後營運持續能力
|