「資通安全風險管理」
1、資通安全風險管理架構、資通安全政策、具體管理方案:
本公司已設立資安專責單位「資訊安全技術部」,並設置資安專責主管及資安專責人員,定期舉行資安會議審視資安防護現況。
公司資訊安全政策為「維護公司資訊之機密性、完整性、可用性與適法性,避免發生人為疏失、蓄意破壞與自然災害時,遭致資訊與資產遭致不當利用、洩漏、竄改、毀損、消失等,影響本公司作業,並導致公司權益受害」,主要透過『資安評估』、『資安管理』、『資安防護』及『資安訓練』四大構面,結合美國國家標準技術研究院推出的資安框架(NIST CSF)檢視資訊架構,搭配Cyber Defense Matrix可視化進行覆核,作為強化公司資訊安全之參考指標。
為確保所面臨之風險得以控管,訂定風險管理程序之管理辦法以明訂風險管理執行方式,持續檢視營運過程中的資安目標、潛在風險及其影響。
為建立資安聯防體系以強化資安防護能量,已加入台灣CERT/CSIRT聯盟會員,提升資訊安全事件之應變能力,保護公司與客戶之資產安全。
本公司定期進行員工資訊安全訓練,如:資安攻擊事件探討、社交工程手法介紹、內部規範宣導、資安風險意識提升等相關訓練,用以提升員工對於資訊安全的認知並遵守資訊安全相關規定,以完善整體資訊安全的防護鏈。定期針對資訊系統執行資訊安全相關偵防作業,並針對資安事故制定相關通報流程與管理辦法,且定期宣導員工資訊安全知識與恪遵資訊安全規範之重要性。
2、資安風險與因應措施:
為加強保障本公司之會員、消費者與相關配合單位之資訊安全防護,特與外部專業資安團隊合作(經行政院國家資通安全會報技術服務中心評鑑為特優之廠商), 定期舉行資安偵防與演練,以確保其相關權益不受威脅,維護本公司商譽與企業形象。
因應駭客攻擊手法日趨複雜,本公司採行資安縱深防禦措施與策略,透過網站應用程式防火牆、入侵偵測防禦系統、惡意郵件偵測阻擋、網頁過濾防護、防毒軟體、端點偵測及回應系統,強化各資訊環境網路、主機及端點防護能力。
<透過委外SOC監控擴大防護能量,7x24小時防禦性監看核心系統的主機、網路設備與資安設備相關日誌,並落實資安通報應變機制。透過外部資安情資平台與各項資安服務,掌握國內外資安最新趨勢,持續優化降低資安攻擊,才能確保無高風險資安事件發生。
3、投入資通安全管理之資源:
(1) 本公司於112年度執行超過110次的弱點檢測,強化對潛在風險的掌握力;成功修補場域內8000個以上弱點,提升系統的穩定性,加強組織資訊資產之防護能力。
(2) 本公司於112年度執行2場全集團同仁資安基礎課程,6場資訊同仁資安意識強化教育訓練,全方位提升集團同仁資安意識,增強對惡意釣魚信件之抵抗力。
(3) 致力於資安人才培育,112年度專責資安團隊擁有20項資安相關資格證照如CISSP、CPENT、iPAS中級資安工程師及iPAS初級資安工程師等,總計50張證照。
(4) 112年度共執行4次全集團社交工程演練,最後一次演練未通過率為6.46%,未通過同仁皆進行社交工程教育訓練,持續強化全體同仁資訊安全意識。
(5) 關注外部威脅情資,除加入TWCERT/CC會員外,持續進行IoC情資威脅獵捕,於網通設備封鎖惡意情資超過三萬筆。網頁應用程式防火牆及入侵防護系統合計阻擋一千兩百餘萬筆外部攻擊連線。
(6) 為提高帳戶安全,進行Active Directory帳號盤點,清理非必要帳號,縮小風險範圍。
(7) 112年度共優化85條入侵防禦系統(IPS)規則,提升外部攻擊阻擋範圍,強化外部攻擊防護能力。
(8) 外部攻擊面曝險項目於112年度共改善超過250項,優化對外服務之可靠度、提升網頁服務品質與防護能力。
除上述項目外,本公司持續進行各種資安優化改善,致力於加強內部資安防護,保障內外部各方關係人之權益。