資通安全
資通安全政策與具體管理方案
- 伺服器及個人電腦安裝防毒軟體端點防護並啟用定期更新及掃瞄。
- 防火牆設備與原廠簽訂維護合約持續更新應用程式辨識能力、入侵防護及進階威脅防護等機制,強化外部攻擊行為的防禦能力。
- 內網縱深防禦配置,降低阻隔風險暴露。
- 垃圾郵件防護除了基本垃圾郵件辨識外,另增加進階威脅防護模組,強化釣魚信件內容辨識能力以防護機敏資料騙取行為。
- 弱點掃描系統隨時掌握系統漏洞並持續追蹤及改善。
- 加入TWCERT/CC等資安聯防組織,強化資安聯防體系與威脅情資共享。
- 與廠商簽定8×5服務,資安服務不中斷。
- 持續社交工程演練及教育訓練提升員工資訊安全意識。
- 持續提升資安人員專業培訓,確保作業人員皆符合資通安全標準。
- 即將進行ISO/IEC 27001:2022驗證。
資訊技術安全之風險及管理措施
透過ISO 27001 資訊安全管理系統導入,遵循資安政策要求、定期進行資訊安全宣導、員工資訊安全教育訓練等,每年由內部及外部專業稽核人員、組織對資安管理系統進行稽核,以及就資安運作狀況、風險控制及事件改善進行評審,呈報至資訊執行小組,以控制及降低資安風險。
除了不斷加強資訊安全設備及軟體的投資外,也持續強化備援措施,這些措施包含:
- 本地資料快照,在硬體未受損壞的狀況下得以最快的方式復原遭受破壞的資料。
- 異地抄寫,在30公里以外的地點建立備援中心,同時建立異地快照雙重防護。
- 資料備份異地存放,每日全備份並將備份資料取出存放到異地。
- 定期備份還原演練,落實並驗證備份資料正確性。