資訊安全政策

資訊安全總體目標:「資訊安全、全體動員」。
持續針對資訊安全精進治理制度與強化防衛能力,所有資訊作業除了符合國際資安標準外,更符合國內外資訊安全法令法規。

資訊安全治理架構
為提升資訊安全管理,資訊部負責訂定集團(含子公司)資訊安全政策、規劃、執行、推動與落實,以降低資安風險及提升同仁良好的資訊安全意識,定期檢討及向董事會報告資安政策,並已於108年8月5日向董事會報告資安治理概況。


 
 
 
資訊安全組織運作模式

資訊安全管理機制
資安策略主軸聚焦資安治理、法令遵循及科技運用三個面向,從制度到科技,從人員到組織,全面性提升資安防護能力。
有鑑於目前資安新興趨勢,如DDoS攻擊、勒索軟體、社交工程攻擊、釣魚網站等,每年與國際資安廠商交流,透過專案合作的方式,定期關注資安議題並規劃因應措施,進行資訊系統的還原及防護演練,強化處理人員的應變能力,以期在第一時間即偵測到並完成處置。
為強化資訊安全管理,內部落實政策執行、嚴密網路控管機制及建立各類型的檢測系統,提早發現問題並進行修補程序。另不定期委由認證資安廠商進行測試。
 

 
資安策略
資安治理
˙精進管理制度
˙掌握風險及強化防範
˙打造聯防體系
 持續精進管理制度,包括強化教育訓練、資訊安全基礎架構設計。
法令遵循 ˙定期檢視/修訂
˙建立合規循環機制		 建立合規法令法規循環機制,並其檢視及修訂內部作業規範,以符合國際資安標準及海外地區法令法規。
科技運用 ˙內外部資料收集
˙運用數據分析
˙預測威脅及決策		 收集訊息,並運用數據分析,預測資訊安全並提早作出安全決策。


資訊服務流程管理
發展良好的資訊服務流程管理,從需求管理、事件管理及問題管理各方面,輔以安全管理機制,持續控管風險。透過定義公司資訊服務的目錄及對應的處理程序,將營運所面臨的事件及問題加以標準化管理,且因應需求申請與變更,建立持續降低風險之循環,並累積知識文件,提升處理的時效與正確性。

資安具體管理方案
具體管理方案由風險預防、防護設施、緊急應變等三個構面,運用相關智慧科技來管控集團的資安防護能力。

風險預防

  1.  每年定期對集團人員宣導資安政策。
  2.  當遇到全球重大資安事件時,會立即利用郵件公告通知集團所有人員注意。
  3.  每月資訊部對資訊安全進行集團整體檢視。
  4.  對外網路與電信業者長期配合對電路進行弱點監控,並適時修補漏洞。
  5.  每季進行全集團防毒軟體健檢,並適時進行策略修正。
 
防護設施
  1.  資訊機房獨立空調系統、電力系統獨立備援。
  2.  總部蒐集各廠防火牆數據,分析並制定合宜之防禦政策,以確保各廠不受外部攻擊。
  3.  總部集中規範各廠所有端點的使用權限(例如USB管控、雲端硬碟、藍芽、外部郵件)。
 
緊急應變
  1.  重要主機災難還原機制,每年執行還原驗證,確保重要系統可還原性。
  2.  集團各廠VPN電路備援機制,確保不會因電路異常而影響公司營運。
  3.  每日重要系統、資料庫及檔案備份,供緊急情況資料還原。


資訊安全事件通報機制

ISO27001

 

有效期限:2021/1/11~2023/12/14
驗證日期:2020/12/14

TOP
Copyright © 明安國際企業股份有限公司 All Rights Reserved.
隱私權政策