資訊安全
|
資訊安全風險管理架構 Information Security Risks Management Framework |
|
資訊安全管理制度 |
閎康科技股份有限公司 (以下簡稱本公司) 為維護組織與客戶資訊安全管理,於民國 104 年設立「資訊安全管理推動小組」,負責組織資訊安全政策與相關作業規範制定,由總經理擔任召集人,並指派總幹事負責資訊管理業務,且此推動小組設有執行小組負責規劃執行各項資訊安全措施、資訊安全事件通報機制運作及重大資訊安全事件應變處理。
本公司「資訊安全管理推動小組」每月會議檢視資訊安全管理相關事宜及檢討資訊安全政策執行情形,且每年年初由總經理主持管理審查會議審查資訊安全政策年度執行報告,並確認本公司之資訊安全政策落實執行,稽核室亦每年對資訊安全管理作業進行查核並向董事會報告查核結果。
|
資訊安全政策 |
本公司依據 ISO27001 資訊安全管理系統 (Information Security Management System, ISMS)之制度規範,作為公司推行資訊安全管理制度之基礎準則。依據 PDCA (Plan, Do, Check, Action) 流程作業模式,以精確而且準確,效率而且有效之精神,確保本公司資訊安全業務運作之有效性與持續性,維護本公司資訊資產之機密性、完整性與可用性。
|
資訊安全具體管理方案 |
本公司依循 ISO27001 制度規範架構下,採取下述幾個措施以確保資訊安全:
- 資訊安全政策推行:經由組織資訊安全管理推動小組運作及資訊安全政策執行,隨時掌握組織內外部環境之最新資訊安全議題與事件預警訊息,並適時對本公司相關同仁發佈警告訊息,防範措施研議準備,以確保本公司各項資訊服務之營運持續與安全。
- 實體與環境管理:針對資訊安全的防護,本公司實施安全區域區隔、網段區隔、防毒軟體、端點防護與系統修補管理等預防措施,並定期對網路設備、伺服器設備進行弱點掃描,針對所發現之弱點進行修補作業,降低整體之資訊安全風險。
- 電子郵件管理:為維護與確保資訊環境之安全,本公司對於電子郵件帳號,進行分級管理,主機端有垃圾郵件過濾、病毒掃描防護,以保障電子郵件使用環境之安全。
- 存取控制管理:為確保資訊機房與資訊系統環境正常運作,機房採行雙因子認證、CCTV、Motion detector 及中控室全天監控,本公司對於使用者存取、應用系統使用、網路及資料庫存取權限進行有效授權及控制管理。
- 網路安全管理:與外界網路連線入口,設置企業級網路防火牆,阻擋駭客非法入侵,並配置網頁黑白名單過濾機制,管控網際網路的存取,可屏蔽訪問有害或政策不允許的網路地址與內容,強化網路運作安全並防止頻寬資源不當占用。
- 營運持續管理:為確保公司資訊系統運作不中斷,本公司除有系統備份機制及設置重要資訊設備備援機制,並制定災害復原計畫,定期執行復原演練,以確保備援機制之正常運作。
- 資訊安全認知宣導與教育訓練:要求同仁定期更換系統密碼,以維護使用帳號安全;提供新進及在職同仁資訊安全認知教育訓練,以提昇同仁資訊安全意識。
|
113年度資安政策執行情形 |
- 本公司於 113 年度 ISO27001 管理審查會議,針對關注方識別與內外部議題項目,擴大ISMS資訊安全驗證範圍至海外實驗室,加強公司對資訊安全防護的重視。
- 本公司於 113 年度通過ISO27001:2022升級版本驗證,意即公司對資訊安全措施符合新版條文規範,企業資訊安全整體防護能力更加提升。
- 本公司於 113 年度開始實施社交工程演練,加強同仁理解釣魚郵件以及詐騙郵件的型態與方式,避免同仁誤觸資安陷阱,提昇員工資安意識。
- 本公司於 113 年度建置多項資訊安全防護措施,包含高管理權限帳號雙因子驗證、辦公室與實驗室網路隔離防護、資訊系統未經授權的異動告警等,阻擋外部惡意攻擊以保護企業重要機敏資訊。
- 因應資安犯罪手法日新月異,其他企業資安事件層出不窮,本公司於113 年度舉行多場資訊安全教育訓練,授課對象包含一般員工與高層主管,以線上及實體授課方式進行,目的為宣導資安相關知識,並以實際事件案例提醒同仁正確資安觀念,降低企業遭受資安攻擊的風險。
|
113 年資訊安全教育訓練課程 |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||