风险管理

ISO27001「资讯安全管理系统（Information Security Management System，ISMS）」国际标准认证导入

• 预计今年完成ISO27001导入，藉由系统化的资讯安全管理框架，识别了解公司的安全风险并确认各项控制措施，确保整体资讯安全性。
• 藉由导入ISO27001，期望提高整体资讯管理效率，减少资安事件发生率及降低潜在损失。

基础设施安全防护

• 关键服务应用服务器及网络设备均设置于专用机房，24小时皆有门禁管控。
• 机房皆设有消防设备及UPS等安全保护措施，随时监控机房电力、温湿度、粉尘等，确保资讯设备安全。

• 强制要求定期更改密码，符合密码复杂度，并限制密码重复使用次数及输入错误锁定策略。
• 定期审查账户和撤销不再需要的账号或权限。
• 定期更新应用程序的安全性和修补程序，修复已知的漏洞。

• 已设置端点自动监控回报机制，可实时分析异常及处理。
• 已设置端点软件自动拦截和响应新型威胁功能，有效对抗无档案式恶意软件、脚本攻击及浏览器攻击。
• 建置SIEM (Security Information and Event Management)及 Analyzer系统。

• 数据存放区均已设定权限管控，只有经授权人员能够存取。
• 已建立完整的备份备援机制，内部重要数据皆有完整备份与增量备份。
• 定期更新信息安全倡导专区，让员工了解如何保护数据并提升安全意识。

• 前端已配置网络防御系统，可实时发现并拦阻攻击，防堵最新型病毒，并可经由威胁情资云，自动识别进阶威胁，提前阻止黑客侵入。
• 建构SOC监控服务 (Security Operatio.n Center), SIEM (Security Information and Event Management) 自动收集、分析及统计网络及设备使用状况和安全讯息，发现自动应答及网络联防。
• 新型防火墙安全防护，可检测并阻止恶意攻击。

• 113.12.24 已取得ISO/IEC 27001：2022「企业资源规划系统与信息机房之维运与管理」之认证，证书有效日期至2027.12.23。
• 本年度共举办3次ISO27001国际资安认证内部稽核训练，共计27人次，合计54人时。
• 本年度于113.09.21办理全集团系统灾难复原演练。
• 本年度共办理42次信息安全教育训练(在线教育训练)，共计64人次，合计96人时。
• 每年2次不定期进行社交工程演练。
• Fortinet 资安铁三角架构已完成上线：

    1. 2024年5月已完成台北总部以及各分点铁三角上线作业。

    2. 2024年10月已完成各站点备援线路测试。

• 软件版权管控已完成上线：

• 系统安全性更新：已完成
• OA数据库主机安全性更新及升级：已完成
• 端点防务软件更新：已完成