資訊安全
資訊安全風險管理架構 Information Security Risks Management Framework |
資訊安全管理制度 |
閎康科技股份有限公司 (以下簡稱本公司) 為維護組織與客戶資訊安全管理,於民國 104 年設立「資訊安全管理推動小組」,負責組織資訊安全政策與相關作業規範制定,由總經理擔任召集人,並指派總幹事負責資訊管理業務,且此推動小組設有執行小組負責規劃執行各項資訊安全措施、資訊安全事件通報機制運作及重大資訊安全事件應變處理。
本公司「資訊安全管理推動小組」每月會議檢視資訊安全管理相關事宜及檢討資訊安全政策執行情形,且每年年初由總經理主持管理審查會議審查資訊安全政策年度執行報告,並確認本公司之資訊安全政策落實執行,稽核室亦每年對資訊安全管理作業進行查核並向董事會報告查核結果。
資訊安全政策 |
本公司依據 ISO27001 資訊安全管理系統 (Information Security Management System, ISMS)之制度規範,作為公司推行資訊安全管理制度之基礎準則。依據 PDCA (Plan, Do, Check, Action) 流程作業模式,以精確而且準確,效率而且有效之精神,確保本公司資訊安全業務運作之有效性與持續性,維護本公司資訊資產之機密性、完整性與可用性。
資訊安全具體管理方案 |
本公司依循 ISO27001 制度規範架構下,採取下述幾個措施以確保資訊安全:
- 資訊安全政策推行:經由組織資訊安全管理推動小組運作及資訊安全政策執行,隨時掌握組織內外部環境之最新資訊安全議題與事件預警訊息,並適時對本公司相關同仁發佈警告訊息,防範措施研議準備,以確保本公司各項資訊服務之營運持續與安全。
- 實體與環境管理:針對資訊安全的防護,本公司實施安全區域區隔、網段區隔、防毒軟體、端點防護與系統修補管理等預防措施,並定期對網路設備、伺服器設備進行弱點掃描,針對所發現之弱點進行修補作業,降低整體之資訊安全風險。
- 電子郵件管理:為維護與確保資訊環境之安全,本公司對於電子郵件帳號,進行分級管理,主機端有垃圾郵件過濾、病毒掃描防護,以保障電子郵件使用環境之安全。
- 存取控制管理:為確保資訊機房與資訊系統環境正常運作,機房採行雙因子認證、CCTV、Motion detector 及中控室全天監控,本公司對於使用者存取、應用系統使用、網路及資料庫存取權限進行有效授權及控制管理。
- 網路安全管理:與外界網路連線入口,設置企業級網路防火牆,阻擋駭客非法入侵,並配置網頁黑白名單過濾機制,管控網際網路的存取,可屏蔽訪問有害或政策不允許的網路地址與內容,強化網路運作安全並防止頻寬資源不當占用。
- 營運持續管理:為確保公司資訊系統運作不中斷,本公司除有系統備份機制及設置重要資訊設備備援機制,並制定災害復原計畫,定期執行復原演練,以確保備援機制之正常運作。
- 資訊安全認知宣導與教育訓練:要求同仁定期更換系統密碼,以維護使用帳號安全;提供新進及在職同仁資訊安全認知教育訓練,以提昇同仁資訊安全意識。
112年度資安政策執行情形 |
- 本公司於 112 年度 ISO27001 於管理審查會議,針對關注方識別與內外部議題討論企業面臨的資安風險並研議防護及風險管控措施。
- 本公司於 112 年度起每兩個月舉行主管與高階主管資訊安全教育訓練.提昇主管資安意識,及理解近期釣魚郵件以及詐騙郵件的型態與方式,平時分享客戶資安相關知識,加強主管PIP資安與保護意識。
- 於 112年3月 實施BYOD資安管控措施,因應機敏資料防護及資安要求,針對辦公區域內所有具照相功能之手機實施資訊安全管控。
- 於6、9、11月舉行多場資訊安全教育訓練,以線上及實體參與課程的方式進行。以提昇同仁資安意識,及理解近期釣魚郵件以及詐騙郵件的型態與方式,平時分享資安相關知識,並於接獲可疑郵件時,主動提供同仁分析及資安提醒,以避免同仁誤觸資安陷阱。
- 加入科學園區資安資訊分享與分析中心,以多元情資分享管道,達到跨域資安威脅聯防之綜效。成員可透過訊息平台彼此交換資安情資,針對營運面遭遇資安問題或近期發現之重要資安議題進行探討與分享,以達資安聯防之目的,並增進企業整體資安防護能力。
112年資訊安全教育訓練課程 |
|