INFORMATION SECURITY RISK MANAGEMENT

資訊安全風險管理

1.資訊安全管理架構

為有效管理公司資訊安全與客戶隱私保護,公司於 2021 年成立資訊安全管理室(包含資訊安全專責主管及1名資訊安全專責人員),負責公司資安治理及資安威脅防禦規劃建置及執行。並為了確保資安政策的落實,成立資訊安全管理委員會,由副總擔任主任委員,指派各單位主管擔任委員所組成,共同監管公司資安治理,113年資安相關會議召開次數共6次。資訊安全專責主管每年需定期檢討資安政策並向董事會報告。

2.資訊安全管理政策

台表科之資訊安全管理為確保資訊處理之正確性與可用性、以及資訊相關系統、設備與網路之安全性,定期執行資訊系統安全的演練與教育訓練,提升同仁對於資訊安全的意識及防禦能力,以確保客戶及產品資訊安全。

3.資訊安全具體管理方案

台表科為強化資訊安全防護能力,自 110 年 2 月成立資訊安全委員會起,全力推動 ISO27001 資訊安全管理工作,於 113 年 6 月經 ISO 國際驗證機構 SGS 臺灣分公司稽核通過 ISO/IEC 27001:2022 資訊安全管理系統(Information Security Management System, ISMS)國際驗證,證書有效期2024/08/11 至 2027/08/11。 ISO 27001 是目前國際上使用最廣泛且最完整的資訊安全管理系統標準,主要協助企業檢驗及降低企業組織內外部的資訊風險與危害,提升資訊安全防護力。台表科為確保公司業務資訊之機密性、完整性及可用性,於 110 年 2 月即成立資訊安全委員會,並由公司副總經理擔任主任委員,不僅定期召開資訊安全委員會,同時亦全力推動 ISO 27001 資訊安全驗證。在準備認證工作的過程中,各個參與的同仁不斷自我要求,持續優化現有資安制度,也積極辧理資安教育訓練及宣導,能夠通過驗證,顯示台表科於資訊安全管理制度的建置與實際作為,獲得 SGS 高度肯定,符合國際資訊安全標準。 展望未來,台表科將以高標準來精進公司資通訊系統架構,同時要求公司同仁以嚴謹的工作態度落實資訊安全管理規範,並透過資訊資產與風險評鑑、監控營運衝擊分析與營運持續演練等機制建構完整的資安防護力,資安意識及觀念融入成為公司企業文化的一部份,朝零災害事件的網路架構目標持續前進。

為降低資訊安全事件及營運活動中斷的風險,並保護重要營運過程不受重大資訊系統失效或災害影響,我們依據 ISO27001:2022 資安標準的營運衝擊分析與風險評估,訂定持續營運計畫,包含緊急應變、系統復原、資訊業務回復等相關作業。此外,每年亦定期安排進行持續營運計畫演練,針對網路管理與應用系統開發訂定演練情境,分別進行「機房及核心系統服務中斷」之模擬演練,要求演練成果 RTO(recover time objective)需符合計畫範圍內。

具體管理方案包含: 定期評估所面臨的資安風險,並優先處理高風險項目。強制使用強密碼,並強制 60 天更換密碼。對敏感資料進行加密,以保護資料的機密性。建置防火牆,防止未經授權的存取。建置入侵偵測與防禦系統,監控網路流量,及早發現入侵行為並進行阻攔防禦。定期備份重要資料,並建立復原計畫及演練。定期舉辦資安教育訓練及每月資安時勢宣導,提升員工的資安意識。定期進行系統弱點掃描及滲透測試,以發現系統漏洞即時修復。定期進行社交工程攻擊演練,提升員工對網路釣魚詐騙攻擊的應變能力。加入TWCERT/CC 台灣電腦網路危機處理暨協調中心聯防組織,獲取最新資安預警情資

4.資訊安全措施與執行成果
  • 4.1 強化員工資安意識

    為了落實資訊安全觀念至每一位員工,公司提供 e-Learning 資安教育訓練並每年進行社交工程演練,模擬駭客的釣魚詐騙郵件,測驗員工的資安風險意識。每月發佈資安意識宣導,包含最新資安趨勢與近期國內外重大資安事件,藉以提升同仁對於資安的意識及警覺性。

    項目 目標 成果
    每年執行社交工程的演練 員工點擊社交工程的信件,
    點擊率 < 18%     		5.2%
  • 4.2網路及系統的弱點偵測

    為保護公司資訊資產安全,避免因系統設備的漏洞遭受攻擊所引起的損失,每年定期進行內部系統設備的弱點掃描,並委用雲端第三方專業系統進行對外網路及服務系統的滲透檢測,以降低影響對公司營運所造成的衝擊。目的為瞭解及評估公司網路環境及系統設備的安全狀況,並驗證目前資安防護的等級與成效,做為漏洞修補、改善之依據,以確實加強系統的安全性。

  • 4.3災難復原演練

    為確保業務永續營運,避免重要資訊系統因重大災難事件而導致服務中斷的風險,公司每年進行一次實際測試或書面演練資訊業務營運持續計畫或資安事故緊急應變計畫, 確保公司在關鍵時刻能發揮災難應變能力,以快速回復到關鍵應用系統能持續運作並確保營運不中斷。此外關鍵系統維運人員,每年至少一次選取部份備份儲存媒體或備援設備,進行備份資料之回存測試,以確認備份資料之可讀性、儲存媒體之可用性與重要資產回存測試步驟的可行性,以確保有效之備份作業,能夠在恢復操作步驟分配的時間內完成。

    113 年演練的結果,都有達到公司設定的目標,詳細統計資料如下表:

    演練目的 目標 成果
    每年執行關鍵應用系統災難復原模擬演練,以確保能持續運作,以保證關鍵應用系統的營運不中斷。 RTO<=2 小時
    RPO<=24 小時    		 RTO=1.5 小時
    RPO=22.15 小時

    RTO: Recovery Time Objective(災難事故發生後,最大資訊服務復原時間目標)
    RPO: Recovery Point Objective(災難事故發生後,最大資料復原時間目標)

    因資訊安全管理的落實,2024 年未發生任何網路攻擊或事件危害公司業務及營運產生重大不利影響,亦無客戶資訊洩漏及違反資通安全等重大資安事件發生,及任何相關的法律案件或監管調查。