目的為強化資訊安全管理,確保資訊資產之機密性、完整性及可用性,以提供資訊業務持續運作之資訊安全環境,並符合相關法令、法規或契約等相關要求,使其免於遭受內、外部的蓄意或意外之威脅。
組織與權責
- 資訊安全組織
- 權責
由 董事會任命資安長,統籌資訊安全系統之管理制度、資源調度等事項之協調及研議。資訊安全暨個人資訊管理之推動小組由各最高單位主管指派,負責資訊安全暨個資之各標準制度之建置、實施與維持。
- 依管理審查之推動小組委任辦法作業,公告資訊安全暨個人資訊管理推動之成員。
- ISMS 成員管理職責說明
(1). 董事會- 任免資安長。
(2). 總經理- 組織權責與資源分配。
- 公司之資安政策核准與頒佈。
(3). 資安長(統稱管理代表)/單位最高主管- 召開並主持管理審查會議,並向最高管理者報告成效。
- 確保 ISMS 管理制度依 ISO27001 之政策建立、修訂與正常運作。
- 推行 ISMS 系統目標核准與確保審查框架的建立。
- ISMS 管理制度相關事務之資源取得、分配、協調與督導。
(4). 流程管理委員會(各單位處級主管)- 落實資訊安全管理系統於組織中各個階層。
- 資訊安全管理制度相關程序文件之審查、實施及維持。
- 內部稽核之管制及追蹤檢討。
(5). 資訊安全暨個人資訊管理推動小組- 資訊安全管理制度相關程序文件之建立、實施及維持。
- 相關法令、法規遵循之界定與更新。
- 資訊安全之適用性聲明書之修訂。
- 落實資訊安全管理系統於該單位同仁。
- 負責資訊資產盤點、風險評估、風險處置、殘餘風險處理之過程。
- 落實風險處置措施,確保風險處置措施的資源。
- 緊急應變、災害復原之計畫、執行與維護。
- 負責資安事件之通報與事故緊急應變處理事宜。
- 負責資安事故之持續改進、矯正與預防措施事宜。
- 負責持續營運計畫之制定、修訂與維護。
- 資訊安全事件管理,包括網路、網站、機房及其他影響業務運作…等。
(6). 內部稽核人員
依教育訓練管理作業安排適當之資訊安全稽核人員,並依內部品質稽核作業進行ISMS 稽核計畫與執行作業。
(7). 品保課- 負責文件管制中心相關活動。
- 資訊安全管理制度相關程序文件之建立、實施及維持。
- 主導、規劃及執行內部、外部稽核與流程持續改善活動。
資訊安全政策
維護資訊資產之機密性、完整性與可用性,並遵循任何資訊安全相關法律、法令、法規或契約義務,以及任何安全要求。
行動設備政策
- 不得利用行動資訊設備,包含平板電腦、筆記型電腦、隨身碟、隨身硬碟或電腦週設備、光碟…等,將未經授權之機密資訊或敏感資訊外流。
- 所有光碟、隨身碟、隨身硬碟等可移除式媒體,應妥善使用與保存,以防止資訊遭受未經授權揭露、修改、移除或破壞。
- 行動資訊設備與無線網路,均需使用帳號密碼登入,方可使用。
- 如行動資訊設備有共用之情形,應確保僅保留共用之應用程式及軟體,並於使用完畢後,自行將暫存之資料清除,同時隨時重整,避免資料遭未經授權之存取行為發生。
- 共用之行動資訊設備,若遇故障需委外維修或報廢時,應清除存放於內之敏感資訊,並依本程序之資訊設備維修作業或委外資訊服務作業辦理。
- 行動資訊設備或可移除式媒體,於使用前應先進行病毒掃描或安裝防毒軟體並經適當的存取控制權限進行存取。
- 行動資訊設備或可移除式媒體於遠距工作或傳遞過程中需盡保管之責,避免未經授權的存取、誤用或毀損。
- 可移除式媒體若不再使用或報廢,必需確認並完成資料清除動作。
存取控制政策
- 資訊資產之存取應與本身業務相關之範圍為主,任何人未經授權不得存取業務範圍外之資訊資產。
- 應正確地使用資訊資產,以維護資訊資產之可用性、完整性與機密性。
- 非因業務需求不得將系統存取帳號提供給他人,若因業務需要開放帳號時,應有適當安全控管措施,該安全控管措施應考量業務需求及資訊資產之機密性,授與適當之存取權限及有效日期。
- 審慎之授權評估被賦予系統管理最高權限、掌理重要技術及作業控制之特定人員。
- 禁止使用行動資訊設備,將未經授權之文件化資訊外流,包括機密或敏感資訊,或惡意的病毒傳播;例如:平板、筆記型電腦、隨身碟、外接式硬碟、光碟、磁帶。
- 資料、資訊之存取,必須符合「個人資料保護法」、「電子簽章法」及「智慧財產權」等相關法規、法令之規定,或契約對資料保護及資料存取使用控管之規定。
- 公用程式路徑之存取權限應適當控管,禁止一般使用者存取。
- 針對無人看管的資訊資產設備,應有適當控管程序,以防未經授權之存取或濫用。
- 個人桌上型電腦、可攜式電腦應設定於一定時間不使用或離開後,應自動清除螢幕上的資訊並登出或鎖定系統,以避免被未經授權之存取(不超過十分鐘)。
密碼控制政策
密碼強制六個月變更一次,設定完成後,請妥善保管,避免他人易於取得。
桌面淨空與螢幕淨空政策
- 文件紀錄應於下班時歸檔,並置入檔案櫃。
- 極機密或機密之文件紀錄應隨時歸檔,並置入檔案櫃,且由專人保管。
- 可移除式儲存媒體,如 隨身碟、光碟…等,應妥善存放。
- 下班時,應保持個人桌面淨空。
- 會議結束時,請清空白板之紀錄。
- 印表機、傳真機之環境,需隨時保持淨空。
- 螢幕需設定螢幕保護程式,不得多於十分鐘。
- 離開座位時,個人電腦應保持登出狀態,或以螢幕與鍵盤上鎖等機制保護。
資訊交換政策
- 使用電子傳輸媒體傳遞資料,不可因貪圖方便而任意使用非法與不當之傳輸媒體。
- 不得利用任何傳輸媒介透過資料傳遞、訊息傳送、發言或視訊等方式透露機房機密或敏感性資訊給其他組織或人員。
安全開發政策
- 應用系統開發應考量其可用性、機密性與完整性。
- 確保應用系統開發、測試、上線及維護之安全。
- 無論任何型態的專案,應考量資訊安全風險及相關資訊安全議題,包括 ISMS 要求及考量該附錄 A 控制項要求。
供應商關係之資訊安全政策
- 確保有關於資訊安全相關要求事項於合約或協議中承諾。
- 確實管理供應商交貨、服務與變更,考量其營運風險,並與合約或協議一致。
資訊安全目標
- 保障資訊之機密性與防止非法使用。
- 確保資訊資產之可用性、完整性。
- 確保資訊業務運作之有效性及持續性。
- 確保同仁對資訊安全有一定認知。
- 確保資訊安全措施,符合政策、法令法規要求。
資通安全風險與因應措施
三商電腦公司已建立全面的網路及電腦相關資安防護措施,並設置專職(責)的資訊安全人員,除了維運公司內部資訊安全系統運行,同時也加入台灣電腦網路危險處理暨協調中心(TWCERT),蒐集相關情資,針對潛在的資安風險及漏洞,進行相對應之措施,必要時得調整資通安全維護計畫之控制措施。 為了加強公司同仁的資安意識及避免釣魚郵件入侵,公司會定期執行資訊安全教育訓練及宣導,並委託資安公司實施社交工程演練,加強同仁資安警覺性。
投入資通安全管理之資源
- 本公司已於103年導入ISO 27001 資通管理系統,並定期取得ISO 27001 認證,UKAS證書ID(Certification ID: TW14/10547),TAF證書ID(Certification ID:TW20/00304)之有效期為112年8月12日至114年10月31日。透過ISO27001 資通安全管理系統之導入,強化資通安全事件之應變處理能力,保護公司與客戶之資產安全。證書有效性查詢網址: https://www.sgsgroup.cz/en/vr/certified-client-directory
- 加入TWCERT會員,定期收集威脅情資,並依據情資內容進行風險評估,調整系統架構設定,強化資安威脅防護。
- 2021年委託第三方資安公司實施資安掃描健檢,找出潛在危險伺服器及個人電腦,清除危險可疑物件,針對高風險項目改善完成率達100%,落實資訊安全。
- 2022年實施員工社交工程教育訓練三小時,有784人次公司同仁參與,並委託第三方資安公司實施電子郵件社交工程演練,測試共784帳號。
- 2023年導入ThreatSonar Anti-Ransomware資安防禦服務平台,包含託管式偵測與回應服務平台(MDR Platform),平台功能結合了威脅情報分析、即時監控、APT防護、Ransomware防禦和威脅情報分享等功能,為組織打造了一個強大的資安防禦平台。
- 2023年實施員工社交工程教育訓練三小時,有809人次公司同仁參與,並委託第三方資安公司實施電子郵件社交工程演練,測試共809帳號。
- 2024年實施員工社交工程教育訓練三小時,有810人次公司同仁參與,並委託第三方資安公司實施電子郵件社交工程演練,測試共810帳號。
重大資通安全事件
三商電腦公司為確保於資訊安全事件發生時,能迅速依程序進行通報,並採取必要之應變措施與建立事件學習機制,訂定資訊安全事故管理程序,依照不同事件分級通報及處理。
目前尚未有發生重大資訊全事故,雖有部署企業防毒系統,但仍有發生零星病毒感染及惡意程式事件,在資安人員的處理之後,皆排除異常事件。雖然資料的完整性及機密資訊未受影響,但造成部份同仁的作業中斷及延誤,除此之外並未造成營業損失。