資訊安全
資通安全風險管理
敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
資通安全風險管理組織架構
本公司已成立資訊部專責資訊安全治理、規劃、督導及推動執行,並定期向總經理會報資安管理運作情形。
|
部門別 |
主要職掌 |
|
資訊安全管理委員會召集人 |
由總經理擔任,負責核准資訊安全管理系統之範圍、政策與高階管理階層決策 |
|
資訊安全管理代表 |
由資訊部主管負責資訊安全風險管理之執行與管理及各組執行狀況之彙整與會報總經理 |
|
資安及個資管理執行小組 |
資訊單位成員負責規劃及執行各項資訊安全作業 |
|
緊急應變執行小組 |
由資訊單位主導協助各關鍵業務流程負責人擔任組員,並尋求資安專業廠商指引最佳處理方案 |
|
稽核小組 |
檢查資訊安全管理系統及所有控制措施之管理,提出稽核報告,追蹤改善情形 |
資通安全政策
- 確保本公司資料、系統、設備及網路通訊安全,阻絕外界之入侵、破壞。
- 確保系統資訊帳戶存取權限與系統之變更均經過公司規定程序授權處理。
- 已報廢之電腦儲存媒體應加以銷毀避免資料意外暴露外流。
- 監控資訊系統之安全狀態與活動紀錄,有效掌握並處理資訊安全事件。
- 維護資料與系統之可用性與完整性,發生災害或受破壞時,可回復正常作業。
- 本公司為確保應用在醫療器材之品質管理系統/生產或服務/監管及量測的電腦軟體,於電腦軟體應用前或依實際狀況於使用後或軟體變更時,經由確效或驗證能達成既定規劃結果之能力,於110年導入台灣醫療器材品質管理系統(QMS)。
具體管理方案
本公司已訂定書面內部控制制度–資訊循環、資訊管理辦法及災害復原計劃,以落實內控制度與維護資訊安全政策。
透過每年檢視和評估其安全規章及程序,確保其適當性和有效性。以下分項進行詳細說明:
- 資安網路架構
① 本公司之內部系統皆位於內部區域網路之中,外部網路受隔離無法直接進入,並已採用多重網路安全系統,位於網路前端之防火牆、入侵防禦連線篩檢系統。
② 公司郵件伺服器有安全控管系統負責過濾傳入信件,初步過濾阻擋釣魚信件攻擊。並即時封鎖最新惡意軟體、有害之網站連結、垃圾電子郵件等威脅。
③ 位於內部之主機及端點多數佈署防毒軟體,隨時更新病毒碼與即時辨識惡意行為特徵,能即時攔截病毒木馬蠕蟲、勒索軟體、文件夾帶之惡意程式等,有效降低被駭客攻擊損害之風險。 - 系統帳號及權限帳號管理
依各業務範圍、權責分別設定使用者之帳號及權限,資料之存取皆需透過電子表單簽核流程經各權責主管申請並核准後始能使用與變更。使用者一旦離開原職務,立即撤銷該使用者之帳號及權限,以防範未經授權之使用。 - 資訊系統保存與備
系統與文件皆採取每日本地備份及異地備份,且每年定期執行系統資料復原測試演練,以確保資訊系統之正常運作及資料保全,可降低無預警天災及人為災害造成之資料損失風險。 - 報廢主機處理方式
報廢主機均執行硬碟拆解破壞,以符合法規遵循的管理制度及資安政策。
投入資通安全管理之資源 - 各年度執行情形
112年度 投入資通安全管理之資源
- 增/修訂資通安全相關程序
增修內部控制制度-電腦化資訊系統循環、資訊安全管理辦法,資通安全事件通報及應變管理程序。 - 資訊安全與資料保護政策
制定並實施ISO 27001及ISO 27701標準的資訊安全和個人資料管理政策及相關程序。 - 資通安全宣導
通訊軟體資訊安全議題控管、釣魚郵件辨識宣導,郵件安全驗證設定。 - 備份還原演練
年度辦理1次ERP備份還原演練,確保資料之可用性與完整性,以節省成本和資源。 - 資訊服務虛擬化
ERP、BPM皆虛擬化,提高系統的效能和性能,在需要的時候快速地移動、複製或共享,降低數據存取和管理的複雜性,減少硬體需求和維運成本,同時提高數據資源的利用率。 - 符合GDP要求,ERP系統確效計畫執行。
- 系統權限管制
ERP帳號清查,定義系統內可執行操作的功能角色,作為授權使用的基礎設定。 - 本年度開始任命資安專責人員3人,參與外部ISO 27001:2022資訊安全管理系統主導稽核員訓練課程,並通過測驗。
