| 管理人員配置 |
1.本公司設置資訊安全管理小組,編制2位資安人員負責相關作業執行,包含制度規劃及建置、人員電腦及公司網路權限管理、防火
牆/防毒軟體管理、資料備援/備份規劃及復原演練…等之執行。
2.資安人員112年度已接受IS27001條文解析/網路零信任等教育訓練,共計17.5小時課程 .111全年度接受12.5小時課程 |
| 資安防護控制措施 |
1.已安裝防毒軟體並於111年6月續約三年。
2.更新網路防火牆機型,增加網路攻擊的防護能力。
3.電子郵件伺服器設定過濾機制,避免垃圾信件散播。
4.系統網路作業以MPLS VPN網路連線,避免外部惡意存取。增加多因子驗證登錄防護。
5.登入公司配置之個人電腦,皆需輸入帳號/密碼,且每三個月需變更密碼;使用公司系統,亦需輸入帳號/密碼,且依帳號核准權限
範圍使用,每三個月需變更密碼。逾期未變更密碼,將鎖定帳戶,待提出申請前,暫停使用權限密碼長度設定要求至少8碼,且應
包含數字、英文字母組合。
6. 112年1月及7月已各完成一次ERP系統權限盤點;系統資料備份復原演練已於112年10月執行。 |
| 資訊設備安全 |
1.重要系統主機放置於專業機房,人員進出設有門禁管制。
2.今年已執行一次各點資訊主機保養,減少設備故障機率。
3.重要系統資料每日凌晨01:00由系統排程進行資料備份,並由資訊人員檢查確認系統已有完成備份。
4.規劃113年上半年完成全系統完整備份(包含程式及資料),且符合3-2-1 備份資安要求。
5.規劃113年上半年導入端點防護,執行威脅偵測與應變的資安作業。 |
| 資安意識強化 |
1.新進人員皆需簽訂「電腦使用規範同意書」,以確保人員了解公司對電腦使用、網路管理、軟體安裝…等規範。
2.新進人員由人事窗口協助填報「新進人員資訊權限申請單」,經人員主管、人資主管及資訊主管確認後,由資訊人員於人員報到當
天設定基礎個人電腦權限,並依據職務工作需求,填寫「資訊權限新增異動申請書」,經部門主管及資訊主管審核確認後方可設
定其他系統權限。
3.已完成勒索病毒損害預防、資安漏洞防範、電子郵件使用安全等資安宣導,持續每季定期宣導。
4.今年第三季進行社交工程演練,除新進同仁外,各單位同仁已提高資安意識,收到不明郵件,除了不點選外,也能在第一時間,直
接通報資訊安全部,收到異常郵件,共同防範資通安全。
5.112年持續針對新進人員安排資安漏洞防範線上課程,並於課後進行線上測驗,累計新進22人皆已完成課程並通過測驗。111全年
度完成26人。 |