目的为强化信息安全管理,确保信息资产之机密性、完整性及可用性,以提供信息业务持续运作之信息安全环境,并符合相关法令、法规或契约等相关要求,使其免于遭受内、外部的蓄意或意外之威胁。
组织与权责
- 信息安全组织
- 权责
由 董事会任命资安长,统筹信息安全系统之管理制度、资源调度等事项之协调及研议。信息安全暨个人信息管理之推动小组由各最高单位主管指派,负责信息安全暨个资之各标准制度之建置、实施与维持。
- 依管理审查之推动小组委任办法作业,公告信息安全暨个人信息管理推动之成员。
- ISMS 成员管理职责说明
(1). 董事会- 任免资安长。
(2). 总经理- 组织权责与资源分配。
- 公司之资安政策核准与颁布。
(3). 资安长(统称管理代表)/单位最高主管- 召开并主持管理审查会议,并向最高管理者报告成效。
- 确保 ISMS 管理制度依 ISO27001 之政策建立、修订与正常运作。
- 推行 ISMS 系统目标核准与确保审查框架的建立。
- ISMS 管理制度相关事务之资源取得、分配、协调与督导。
(4). 流程管理委员会(各单位处级主管)- 落实信息安全管理系统于组织中各个阶层。
- 信息安全管理制度相关程序文件之审查、实施及维持。
- 内部稽核之管制及追踪检讨。
(5). 信息安全暨个人信息管理推动小组- 信息安全管理制度相关程序文件之建立、实施及维持。
- 相关法令、法规遵循之界定与更新。
- 信息安全之适用性声明书之修订。
- 落实信息安全管理系统于该单位同仁。
- 负责信息资产盘点、风险评估、风险处置、残余风险处理之过程。
- 落实风险处置措施,确保风险处置措施的资源。
- 紧急应变、灾害复原之计划、执行与维护。
- 负责资安事件之通报与事故紧急应变处理事宜。
- 负责资安事故之持续改进、矫正与预防措施事宜。
- 负责持续营运计划之制定、修订与维护。
- 信息安全事件管理,包括网络、网站、机房及其他影响业务运作…等。
(6). 内部稽核人员
依教育训练管理作业安排适当之信息安全稽核人员,并依内部质量稽核作业进行ISMS 稽核计划与执行作业。
(7). 品保课- 负责文件管制中心相关活动。
- 信息安全管理制度相关程序文件之建立、实施及维持。
- 主导、规划及执行内部、外部稽核与流程持续改善活动。
信息安全政策
维护信息资产之机密性、完整性与可用性,并遵循任何信息安全相关法律、法令、法规或契约义务,以及任何安全要求。
行动设备政策
- 不得利用行动信息设备,包含平板计算机、笔记本电脑、随身碟、随身硬盘或计算机周设备、光盘…等,将未经授权之机密信息或敏感信息外流。
- 所有光盘、随身碟、随身硬盘等可移除式媒体,应妥善使用与保存,以防止信息遭受未经授权揭露、修改、移除或破坏。
- 行动信息设备与无线网络,均需使用账号密码登入,方可使用。
- 如行动信息设备有共享之情形,应确保仅保留共享之应用程序及软件,并于使用完毕后,自行将暂存之数据清除,同时随时重整,避免数据遭未经授权之存取行为发生。
- 共享之行动信息设备,若遇故障需委外维修或报废时,应清除存放于内之敏感信息,并依本程序之信息设备维修作业或委外信息服务作业办理。
- 行动信息设备或可移除式媒体,于使用前应先进行病毒扫描或安装防病毒软件并经适当的访问控制权限进行存取。
- 行动信息设备或可移除式媒体于远距工作或传递过程中需尽保管之责,避免未经授权的存取、误用或毁损。
- 可移除式媒体若不再使用或报废,必需确认并完成数据清除动作。
访问控制政策
- 信息资产之存取应与本身业务相关之范围为主,任何人未经授权不得存取业务范围外之信息资产
- 应正确地使用信息资产,以维护信息资产之可用性、完整性与机密性。
- 非因业务需求不得将系统存取账号提供给他人,若因业务需要开放账号时,应有适当安全控管措施,该安全控管措施应考虑业务需求及信息资产之机密性,授与适当之访问权限及有效日期。
- 审慎之授权评估被赋予系统管理最高权限、掌理重要技术及作业控制之特定人员。
- 禁止使用行动信息设备,将未经授权之文件化信息外流,包括机密或敏感信息,或恶意的病毒传播;例如:平板、笔记本电脑、随身碟、外接式硬盘、光盘、磁带。
- 数据、信息之存取,必须符合「个人资料保护法」、「电子签章法」及「知识产权」等相关法规、法令之规定,或契约对数据保护及数据存取使用控管之规定。
- 公用程序路径之访问权限应适当控管,禁止一般使用者存取。
- 针对无人看管的信息资产设备,应有适当控管程序,以防未经授权之存取或滥用。
- 个人桌面计算机、便携计算机应设定于一定时间不使用或离开后,应自动清除屏幕上的信息并注销或锁定系统,以避免被未经授权之存取(不超过十分钟)。
密码控制政策
密码强制六个月变更一次,设定完成后,请妥善保管,避免他人易于取得。
桌面净空与屏幕净空政策
-
文件纪录应于下班时归档,并置入档案柜。
-
极机密或机密之文件纪录应随时归档,并置入档案柜,且由专人保管。
-
可移除式储存媒体,如 随身碟、光盘…等,应妥善存放。
-
下班时,应保持个人桌面净空。
-
会议结束时,请清空白板之纪录。
-
打印机、传真机之环境,需随时保持净空。
-
屏幕需设定屏幕保护程序,不得多于十分钟。
-
离开座位时,个人计算机应保持注销状态,或以屏幕与键盘上锁等机制保护。
信息交换政策
- 使用电子传输媒体传递数据,不可因贪图方便而任意使用非法与不当之传输媒体。
- 不得利用任何传输媒介透过数据传递、讯息传送、发言或视讯等方式透露机房机密或敏感性信息给其他组织或人员。
安全开发政策
- 应用系统开发应考虑其可用性、机密性与完整性。
- 确保应用系统开发、测试、上线及维护之安全。
- 无论任何型态的项目,应考虑信息安全风险及相关信息安全议题,包括 ISMS 要求及考虑该附录 A 控件要求。
供货商关系之信息安全政策
- 确保有关于信息安全相关要求事项于合约或协议中承诺。
- 确实管理供货商交货、服务与变更,考虑其营运风险,并与合约或协议一致。
信息安全目标
- 保障信息之机密性与防止非法使用。
- 确保信息资产之可用性、完整性。
- 确保信息业务运作之有效性及持续性。
- 确保同仁对信息安全有一定认知。
- 确保信息安全措施,符合政策、法令法规要求。
资通安全风险与因应措施
三商电脑公司已建立全面的网络及计算机相关资安防护措施,并设置专职(责)的信息安全人员,除了维运公司内部信息安全系统运行,同时也加入台湾电脑网络危险处理暨协调中心(TWCERT),搜集相关情资,针对潜在的资安风险及漏洞,进行相对应之措施,必要时得调整资通安全维护计划之控制措施。
为了加强公司同仁的资安意识及避免钓鱼邮件入侵,公司会定期执行信息安全教育训练及倡导,并委托资安公司实施社交工程演练,加强同仁资安警觉性。
投入资通安全管理之资源
- 本公司已于2014年导入ISO 27001 资通管理系统,并定期取得ISO 27001 认证,UKAS证书ID(Certification ID: TW14/10547),TAF证书ID(Certification ID:TW20/00304)之有效期为2023年8月12日至2025年10月31日。透过ISO27001 资通安全管理系统之导入,强化资通安全事件之应变处理能力,保护公司与客户之资产安全。证书有效性查询网址: https://www.sgsgroup.cz/en/vr/certified-client-directory
- 加入TWCERT会员,定期收集威胁情资,并依据情资内容进行风险评估,调整系统架构设定,强化资安威胁防护。
- 2021年委托第三方资安公司实施资安扫描健检,找出潜在危险服务器及个人计算机,清除危险可疑对象,针对高风险项目改善完成率达100%,落实信息安全。
- 2022年实施员工社交工程教育训练三小时,有784人次公司同仁参与,并委托第三方资安公司实施电子邮件社交工程演练,测试共784账号。
- 2023年导入ThreatSonar Anti-Ransomware资安防御服务平台,包含托管式侦测与回应服务平台(MDR Platform),平台功能结合了威胁情报分析、实时监控、APT防护、Ransomware防御和威胁情报分享等功能,为组织打造了一个强大的资安防御平台。
- 2023年实施员工社交工程教育训练三小时,有809人次公司同仁参与,并委托第三方资安公司实施电子邮件社交工程演练,测试共809账号。
- 2024年实施员工社交工程教育训练三小时,有810人次公司同仁参与,并委托第三方资安公司实施电子邮件社交工程演练,测试共810账号。
- 2024年布署AWS WAF(Web Application Firewall),有效防御常见网络攻击,全面强化组织的网络应用安全防护能力,进一步提升整体信息安全防御层级。
重大资通安全事件
三商电脑公司为确保于信息安全事件发生时,能迅速依程序进行通报,并采取必要之应变措施与建立事件学习机制,订定信息安全事故管理程序,依照不同事件分级通报及处理。
目前尚未有发生重大信息全事故,虽有部署企业防毒系统,但仍有发生零星病毒感染及恶意软件事件,在资安人员的处理之后,皆排除异常事件。虽然数据的完整性及机密信息未受影响,但造成部份同仁的作业中断及延误,除此之外并未造成营业损失。