INFORMATION SECURITY RISK MANAGEMENT

资讯安全风险管理

1.资讯安全管理架构

为有效管理公司资讯安全与客户隐私保护,公司于2021 年成立资讯安全管理室(包含资讯安全专责主管及1名资讯安全专责人员),负责公司资安治理及资安威胁防御规划建置及执行。并为了确保资安政策的落实,成立资讯安全管理委员会,由副总担任主任委员,指派各单位主管担任委员所组成,共同监管公司资安治理,113年资安相关会议召开次数共6次。资讯安全专责主管每年需定期检讨资安政策并向董事会报告。

2.资讯安全管理政策

台表科之资讯安全管理为确保资讯处理之正确性与可用性、以及资讯相关系统、设备与网路之安全性,定期执行资讯系统安全的演练与教育训练,提升同仁对于资讯安全的意识及防御能力,以确保客户及产品资讯安全。

3.资讯安全具体管理方案

台表科为强化资讯安全防护能力,自 110 年 2 月成立资讯安全委员会起,全力推动 ISO27001 资讯安全管理工作,于 113 年 6 月经 ISO 国际验证机构 SGS 台湾分公司稽核通过 ISO/IEC 27001:2022 资讯安全管理系统(Information Security Management System, ISMS)国际验证,证书有效期2024/08/11 至 2027/08/11。 ISO 27001 是目前国际上使用最广泛且最完整的资讯安全管理系统标准,主要协助企业检验及降低企业组织内外部的资讯风险与危害,提升资讯安全防护力。台表科为确保公司业务资讯之机密性、完整性及可用性,于 110 年 2 月即成立资讯安全委员会,并由公司副总经理担任主任委员,不仅定期召开资讯安全委员会,同时亦全力推动 ISO 27001 资讯安全验证。在准备认证工作的过程中,各个参与的同仁不断自我要求,持续优化现有资安制度,也积极辧理资安教育训练及宣导,能够通过验证,显示台表科于资讯安全管理制度的建置与实际作为,获得 SGS 高度肯定,符合国际资讯安全标准。 展望未来,台表科将以高标准来精进公司资通讯系统架构,同时要求公司同仁以严谨的工作态度落实资讯安全管理规范,并透过资讯资产与风险评鉴、监控营运冲击分析与营运持续演练等机制建构完整的资安防护力,资安意识及观念融入成为公司企业文化的一部份,朝零灾害事件的网路架构目标持续前进。

为降低资讯安全事件及营运活动中断的风险,并保护重要营运过程不受重大资讯系统失效或灾害影响,我们依据 ISO27001:2022 资安标准的营运冲击分析与风险评估,订定持续营运计划,包含紧急应变、系统复原、资讯业务回复等相关作业。此外,每年亦定期安排进行持续营运计划演练,针对网路管理与应用系统开发订定演练情境,分别进行「机房及核心系统服务中断」之模拟演练,要求演练成果 RTO(recover time objective)需符合计划范围内。

具体管理方案包含: 定期评估所面临的资安风险,并优先处理高风险项目。强制使用强密码,并强制 60 天更换密码。对敏感资料进行加密,以保护资料的机密性。建置防火墙,防止未经授权的存取。建置入侵侦测与防御系统,监控网路流量,及早发现入侵行为并进行阻拦防御。定期备份重要资料,并建立复原计划及演练。定期举办资安教育训练及每月资安时势宣导,提升员工的资安意识。定期进行系统弱点扫描及渗透测试,以发现系统漏洞即时修复。定期进行社交工程攻击演练,提升员工对网路钓鱼诈骗攻击的应变能力。加入TWCERT/CC 台湾电脑网路危机处理暨协调中心联防组织,获取最新资安预警情资

4.资讯安全措施与执行成果
  • 4.1 强化员工资安意识

    为了落实资讯安全观念至每一位员工,公司提供 e-Learning 资安教育训练并每年进行社交工程演练,模拟骇客的钓鱼诈骗邮件,测验员工的资安风险意识。每月发布资安意识宣导,包含最新资安趋势与近期国内外重大资安事件,借以提升同仁对于资安的意识及警觉性。

    项目 目标 成果
    每年执行社交工程的演练 员工点击社交工程的信件,
    点击率 < 18%     		5.2%
  • 4.2网路及系统的弱点侦测

    为保护公司资讯资产安全,避免因系统设备的漏洞遭受攻击所引起的损失,每年定期进行内部系统设备的弱点扫描,并委用云端第三方专业系统进行对外网路及服务系统的渗透检测,以降低影响对公司营运所造成的冲击。目的为了解及评估公司网路环境及系统设备的安全状况,并验证目前资安防护的等级与成效,做为漏洞修补、改善之依据,以确实加强系统的安全性。

  • 4.3灾难复原演练

    为确保业务永续营运,避免重要资讯系统因重大灾难事件而导致服务中断的风险,公司每年进行一次实际测试或书面演练资讯业务营运持续计划或资安事故紧急应变计划, 确保公司在关键时刻能发挥灾难应变能力,以快速回复到关键应用系统能持续运作并确保营运不中断。此外关键系统维运人员,每年至少一次选取部份备份储存媒体或备援设备,进行备份资料之回存测试,以确认备份资料之可读性、储存媒体之可用性与重要资产回存测试步骤的可行性,以确保有效之备份作业,能够在恢复操作步骤分配的时间内完成。

    113 年演练的结果,都有达到公司设定的目标,详细统计资料如下表:

    演练目的 目标 成果
    每年执行关键应用系统灾难复原模拟演练,以确保能持续运作,以保证关键应用系统的营运不中断。 RTO<=2 小时
    RPO<=24 小时    		 RTO=1.5 小时
    RPO=22.15 小时

    RTO: Recovery Time Objective(灾难事故发生后,最大资讯服务复原时间目标)
    RPO: Recovery Point Objective(灾难事故发生后,最大资料复原时间目标)

    因资讯安全管理的落实,2024 年未发生任何网路攻击或事件危害公司业务及营运产生重大不利影响,亦无客户资讯泄漏及违反资通安全等重大资安事件发生,及任何相关的法律案件或监管调查。