| 管理人員配置 |
1.本公司設置資訊安全管理小組,編制2位資安人員負責相關作業執行,包含制度規劃及建置、人員電腦及公司網路權限管理、防火牆/防毒軟體管理、資料
備援/備份規劃及復原演練…等之執行。
2.113年度資安人員113年度已接受個資(安全維護)法/社交工程教育訓練/資通安全管控指引等,共計29.5人次-小時課程 。112全年度接受25人次-小時課
程。 |
| 資安防護控制措施 |
1.112年更新網路防火牆機型。113年更新3次資安Patch並增加斷線事件的即時通知,提昇網路應變能力。
2.電子郵件伺服器設定過濾機制,避免垃圾信件散播。113年規劃移轉至雲端計劃。
3.系統網路作業以MPLS VPN網路連線,避免外部惡意存取。同時使用HiNet企業資安服務,阻擋外部攻擊。
4.防毒軟體於111年6月續約三年。113年使用第二年合約。每月檢視主機作業統資安patch,即時進行更新。
5.登入公司配置之個人電腦,以及使用公司內部系統,皆需輸入帳號/密碼,且每三個月需變更密碼;逾期未變更密碼,將鎖定帳戶,提出申請前,暫停使
用權限。密碼長度設定要求至少8碼,且應包含數字、英文字母組合。
6. 113年7月完成ERP系統權限盤點;確認使用人員清單正確。
7. 112年已完成6台主機弱點掃瞄,以及3台主機滲透測試,進行作業系統昇級及AP OWASP漏洞補強。113年將持續進行。 |
| 資訊設備安全 |
1.重要系統主機放置於專業機房,人員進出設有門禁管制。
2.113年已執行一次各點資訊主機保養,減少設備故障機率。並完成硬體保固合約。
3.113年上半年完成核心系統完整備份(包含程式及資料),且符合3-2-1 備份資安要求。重要系統資料每日進行2次排程備份作業,備份執行結果透過email
即時寄出。
4.113年上半年導入MDR軟體,執行主動偵測威脅與應變的資安作業。
5.規劃113年下半年導入端點防護,執行終端設備(如筆電等的軟硬體管制作業。 |
| 資安意識強化 |
1.新進人員皆需簽訂「電腦使用規範同意書」,以確保人員了解公司對電腦使用、網路管理、軟體安裝…等規範。
2.新進人員需填報「新進人員資訊權限申請單」,經各級主管及資訊主管確認後,設定個人電腦權限。並依據職務工作需求,填寫「資訊權限新增異動申請
書」,經部主管審核確認後,再提供其他系統權限。
3.113年完成勒索病毒損害預防、資安漏洞防範、電子郵件使用安全、個資法重大變更等資安宣導,每月定期宣導;設定個人電腦開機後,顯示相關宣導訊
息。
4.今年第一季進行社交工程演練,除新進同仁外,各單位同仁已提高資安意識,收到不明郵件,除了不點選外,也能在收到異常郵件的第一時間,直接通報
資訊安全部,共同防範資通安全。
5.113年制定並發布「資通安全事件應變與內部通報計劃」。規範資安事件標準與通報機制,編列應變委員組織及分工作業細則。
6.113年持續針對新進人員安排資安漏洞防範線上課程,並於課後進行線上測驗,累計新進9人皆已完成課程並通過測驗。112全年度完成20人。 |