81453高雄市仁武區八德二路168號 +886-7-359-7177 service@mail.gongin.com.tw

資訊安全

Information security
Information security

資訊安全

1.資訊安全政策目的 :

確保所有公準員工及第三者,了解保障公準商業資訊的重要性。
保護資訊,避免未經授權的資料被存取,外洩,遺失或誤用。 商業資訊分類定義。

2. 架構

資訊安全政策架構,有兩份核心文件

資訊安全政策
資訊安全控制
包含了 IT 標準,方針,基準。作為協助並引導業務的解釋及實施政策所需。

3. 組織

公準組織,員工及第三者,存取或處理公準資訊,必需遵守資訊安全政策。
管理階層應依權責訂定企業活動所需之資訊安全要求。
組織內各部門應訂定資訊安全計畫,管理階層應依據資訊安全政策架構,負 責展開此資訊安全計畫。

4. 資訊資產分類及控制

公準依據它的業務需要,將資訊列為公司資產,必須加以保護,以防止遺失 的可能性,並且防止侵犯其完整性和保密性。
部門主管應導入資訊安全風險評鑑,以鑑別資訊資產,及透過安全再評鑑, 定期檢查安全層級。
適用時,資訊的擁有者應指定保護資訊完整性及可用性的需求。
分類資訊的擁有者,應指明資訊分類的等級,及分類的有效期限。
公準員工及第三者在處理公準資訊資產時,應負責盡力保護資訊安全。
對依據公準資訊安全政策所展開的資訊安全指導方針,指示及程序,進行監 測,以確保資訊安全指導方針,指示及程序有被各階層執行及管理。

5. 資訊分類(classification and categorization)

資訊分類,具有重要的公司資料記錄的處理,被區分為兩類。
公司機密性
公司極機密性 (或敏感性)

6. 認知

管理階層必須確保公準員工及第三者瞭解他們有責任來保護資訊資產。
必須積極鼓勵公準員工及第三者去認知他們在預防違反資訊安全事件上所扮 演的重要角色,並負起責任。

7. 實體與環境安全(Physical and environmental security)

管理階層將界定一個維持特定等級的實體安全區域。
只有被授權特定目的訪客,才可被允許進入該安全區域。他們必需隨時被監視。

8. 系統存取控制

資訊擁有者負責同意存取資訊資產或授權給其他人。
資訊的處理及保存的安全性措施,必須是相稱於分類的等級。
為了責任歸屬的目的,每位共用設施的使用者,應能夠被個人用戶識別工具 辨識為唯一。

9. 營運持續(Bussiness Continuity)

各部門主管必須建立一個實際和均衡的永續計劃。

10. 違反或事故報告

資訊安全違反或事故,應立即向管理階層報告。

11. 政策法規遵行 (Compliance)

公準資訊資產之處理,必須遵循國家資料保護法或適用的法律要求。

資訊安全管理

1.資訊安全風險管理架構


● 本公司資訊安全 ( 以下簡稱資安 ) 之權責單位為資訊部,該部設置專業資訊人員數名,負責訂定內部資訊安全政策、 規劃暨執行資訊安全作業程序與資安政策推動與落實。
● 本公司稽核室為資訊安全監理之督導單位,該室設置專職稽核人員,負責督導內部資安執行狀況,若查核發現缺失,即要求受查單位提出相關具體改善作法,且定期追蹤改善成效,以降低內部資安風險,每年並就稽核結果定期報告予董事會。
● 組織運作模式:資訊部制定公司資安政策及資訊安全作業程序,內部各單位推動執行並加強宣導資安政策及資訊安全作業程序及人員教育訓練,落實資安政策的導入及實施,稽核室進行資安風險查核,如發現缺失,要求受查單位提出相關具體改善作法,且定期追蹤改善成效。

2.資訊安全政策


● 主要以降低遭受攻擊的機率和提高入侵難度為目標。這包括制定清晰的資訊安全政策和準則,以指導組織在安全管理方面的行動。
● 通過建立健全的資料備份策略,加以管理措施,以減少資料外洩的機會。
● 建立內部稽核機制,以確保各項作業流程的合規性和有效性。

3.具體管理方案


● 針對不必要的攻擊面進行最小化,包括減少放置在公共網絡上的服務,並將重要資源分配給專業服務商進行管理,從而降低成為攻擊目標的可能性。
● 實施多層次的防禦機制,從外部防火牆到內部防毒軟體、加密通信線路等,以提高入侵的難度和阻止未授權訪問。
● 在不同地點的辦公室使用 VPN 進行網路連接,以提高跨地域資料交換的安全性。
● 在辦公地點設置區域性防火牆,嚴格區分內部和外部網路,並通過網路行為控制設備(AC)實施帳號權限管理。
● 建立內部網路防毒管理中心,及時監控網域內電腦的防毒軟體更新和部署情況,並採取即時措施應對電腦中毒事件。
● 在郵件伺服器上實施垃圾郵件過濾機制,並根據實際情況調整設定,同時建立 DNS SPF 規則,以減少電子郵件詐騙的發生概率。
● 實施 WSUS 機制,確保內部作業系統的及時更新。
● 建立完善的備份策略,針對檔案伺服器、資料庫和重要服務,建立備份和還原機制,並在異地進行備份,以保證資料的完整性和可恢復性。
● 通過權限管理使用者的網路活動,包括電子郵件、即時通訊和一般網絡瀏覽,以確保僅授予合適的權限。
● 提供針對網路使用者的資安教育訓練,並在涉及個人資料的情況下進行個資法宣告,確保使用者的合規行為
● 強化機房管控,包括人員進出管制、伺服器維護記錄、網路活動記錄,以及網路帳號和系統使用權限的申請和取消機制。並定期進行內部和外部稽核,確保資訊安全控制和系統復原測試的有效執行。
● 印量控管及資訊安全防護功能:
(1)使用者影/印紀錄查詢:統計使用者每月印量。
(2)印量儲值:能依使用者設定使用印量。
(3)優化文件輸出流程:結合員工識別證,以感應方式取件列印,以防機密文件被他人取走之風險亦可避免文件無人領取造成浪費之情形。
(4)列印內容監控:以圖像方式儲存至資訊部伺服器,當機密文件外洩時,能反查列印者。
(5)動態浮水印:可依需要設定文件浮水印功能。
加入台灣CERTCSIRT聯盟,以多元情資分享管道,達到跨域資安威脅聯防之綜效,可透過聯盟彼此交換資安情資,針對營運面遭遇資安問題或近期發現之重要資安議題進行探討與分享,以達資安聯防之目的,並增進整體資安防護能力。

4.資訊安全管理措施


本公司定期審視內部資訊安全規範,分析內部風險水平,並以此風險評估結果制定資訊安全管理措施強化項目,精進且提升整體資訊安全環境。 本公司實施之資訊安全管理措施,包含如下:

5.投入資訊安全管理之資源


●在2021年,為了完善備份機制和提高入侵的難度,建置FW設備的高可用性(High Availability,HA)運作機制,以達成最少的服務中斷時間。
●於2022年底,導入VM虛擬化應用,提昇IT資源利用率及IT部署的靈活性,縮短系統供應作業時間,協助精簡管理人力,節能省碳,也符合環保的世界潮流等等好處。以提高整體資訊系統的效能和安全性。
●在2023年,引入印量管理系統及資安系統,以降低機密文件外流的潛在風險。
●在2023年,設置3位專責人員,共四位人員參加資訊安全相關的教育訓練課程,總計培訓時間為63小時,資安討論會議次數4次。
●在2023年,全員資安通識教育訓練,3小時。

6.最近年度資訊安全事件及因應措施


截至最近年度報告印製日期,我們未發生任何重大資訊安全事件,因此無法估計損失或可能的影響。我们的資訊安全管理措施已經有效地保護了組織免受潛在威脅的影響。

Get In Touch

高雄市仁武區八德二路168號

service@mail.gongin.com.tw

+886-7-359-7177

+886-7-347-5077

Security

© Gongin. All Rights Reserved. Designed by HTML Codex