资讯安全风险管理架构
本公司的资讯安全体系、计画及技术规范之研议、建置及评估等事项,由资讯单位负专责,于112年5月4日董事会已决议通过设置资安主管一名,资安人员一名,负责资安技术控管,确保公司资讯安全管理制度之运作,鑑别资讯安全管理制度之内、外部议题、及利害相关团体对本公司之资讯安全要求与期望、执行资讯安全防护相关工作、资讯安全事件应变处理、及资讯安全事件事后復原能力,以预防资讯安全事件之发生及降低资讯安全事件之损失。
资讯安全政策
本公司确保资讯资产之机密性、完整性、可用性及适法性,并避免遭受内、外部蓄意或意外之威胁,衡酌本公司之业务需求,持续导入资讯科技管理工具、及不断强化资讯安全管理机制,以持续有效运作资讯安全管理及隐私权保护等机制。
为落实资讯安全管理,普诚科技制定了一系列文件与规范,包括「资讯系统权限说明」、「个人电脑使用管理办法」、「电子邮件管理办法」、「资讯系统復原政策」、「资料备份执行细则」、「电脑系统作业维护管制程序」及「资讯设备遗失通报作业指导书」。其文件内容规范公司内部的资讯安全管理,要求全体员工遵守相应的管理办法与程序,以确保资讯系统的安全性与可靠性,并提高本公司整体的资讯安全水平。
资讯安全具体管理方案
一、资讯安全管理及稽核机制
本公司稽核部门是为查核资讯部门之单位,落实资讯安全管理机制,以PDCA循环运作模式建立、实施、维护、与改善资讯安全管理制度。
二、资讯安全技术控管建置
透过建置资讯安全监控系统、以预防骇客侵入及窃取公司机密资料。建立完整资讯系统安全防护网,包含机房、网路设备、网路连线及个人资讯设备管理(例如桌上型电脑、笔记型 电脑、平板电脑及智慧型手机等),以落实员工个人资料、公司机密资料、客户及供应商等资料保护,近期并已申请加入台湾电脑网路危机处理暨协调中心(TWCERT/CC)会员,已于2023年12月审核通过,该中心可提供资安事件谘询及协调协处服务,俾事先取得资安预警情资、瞭解资安威胁与弱点资讯及通报资通安全事件,共同提升臺湾整体资安联防能量并有效提升公司自身防护能力。
其他资安防护机制:
-
设置防火牆管控Internet网际网路
-
严格管控电脑帐号权限、内部网路存取及远端使用。
-
异地备份:定期备份资料档案、系统与应用程式等,并妥善保存于防火柜。
-
资讯系统復原机制:以设备更新与回復备份资料方式復原资讯系统。
-
因应天然及人为灾害:注意用电负荷、配置消防设施,使用UPS系统以稳定机房供电;设置高架地板、防止天花板漏水、牢固机柜与置放于其中的设备并随时记录资讯室机房进出。
三、资讯安全教育训练
为提升本公司员工对资讯安全之意识与认知:
(1)资讯安全认知宣导:为提高员工资讯安全意识,适时透过各种管道、及会议进行资讯安全相关讯息公告及宣导。
(2)资讯安全教育训练:
I、新进员工报到当日即签署从业人员职业道德服务协议并接受资讯安全相关教育训练,以瞭解公司资讯安全政策与要求。
II、除公司所举办之教育训练外,单位资讯人员参与外部所举办之相关训练活动、或研讨会(包括线上),吸取资讯安全防护机制、及最新资讯安全攻击型态,以强化资讯安全防护。
III、透过不定期演练,以提升员工资安意识。
重大资通安全事件所遭受之损失、可能影响及因应措施
最近年度营运无发生因资通安全事件之重大情事所衍生之相关的财务赔偿或损失。
致力于保护内、外部之营运相关资讯资产安全与隐私,及重视来自内、外部之资安威胁的防禦,持续跟进相关国内外资安威胁情资,以适时管理各项资安作业与监控,以减少企业因资安威胁造成之营运影响,落实资通安全之责任,实现企业永续发展。
-
初步识别「事件属性」:如中毒、或是社交工程等;
-
进行初步反应:如隔离受影响的设备、网段区域等;
-
检查是否已完成区隔?是否需要再扩大离范围?
-
查验主要的营运设备是否受影响?
-
针对受影响的设备进行处理、记录报告,是否需要合作厂商协助处理、或更新设备等;如属重大事件则进行相关提报作业、如台湾CERT_CSIRT联盟等。
-
进行回復作业。
客户隐私保护之承诺
为维护客户隐私,公司应该限制其个人资料的蒐集、透过合法的手段蒐集资料,以及就如何蒐集、使用及保护予以透明化。除非经客户同意,公司亦不可因任何目的,揭露或使用客户资料,且须与客户直接沟通和资讯保护政策或措施相关之任何改变。本公司已透过建置资讯安全监控系统与完整资讯系统安全防护网,以落实员工个人资料、公司机密资料、客户及供应商等资料保护。