本公司為客戶提供資訊安全專業服務,自2001年開始提供服務以來便極為關注營運的安全性。為保障本公司及所有客戶的資訊資產安全,資訊安全政策包含以下四項,供本公司全體同仁遵循:
-
致力維護本公司與客戶相關資訊資產的機密性、完整性與可用性。
-
提昇人員的資訊安全技能與認知,建立本公司可信賴的形象。
-
建構完善的資訊安全管理制度,達成國際等級的資訊安全管理水準。
-
採用先進科學技術,提供全方位、高安全性的資訊安全監控中心(SOC)相關服務。
資訊安全國際標準驗證
本公司已通過下列三項資訊安全相關國際標準之驗證,並持續維持證書之有效性:
-
ISO 27001:2013 資訊安全管理驗證
-
BS 10012:2017 個人資訊安全管理驗證
-
ISO 17025:2017 實驗室能力驗證
資訊安全管理之驗證範圍涵蓋本公司所提供之各項資訊安全諮詢服務、資訊安全監控中心(SOC)服務、資訊安全檢測服務等。
資訊安全組織
本公司資訊安全管理與個資管理的最高層級組織是「資訊安全暨個資保護委員會」,由總經理擔任召集人,委員由一級主管擔任,下轄「資訊安全推動及業務永續運作小組」、「個資保護執行小組」、「緊急應變處理小組」、「稽核小組」等,並由資訊安全長監督、管理各小組之日常實務運作。
「資訊安全暨個資保護委員會」每年實施兩次管理審查,確保本公司資訊安全與個資保護相關作業的落實。
資訊安全管理與個資保護實務
本公司之資訊安全管理與個資保護實務,依據國際標準「規劃(Plan)、實作(Do)、審查(Check)、改善活動(Act)」的管理循環,分為管理面與技術面予以落實。
資訊安全管理涵蓋下列程序:
-
實體安全管制程序
-
資訊系統維運安全程序
-
通訊安全程序
-
存取控制程序
-
電腦安全事件管理程序
-
風險評鑑與風險管理程序
-
應用系統取得、發展及維護程序
-
稽核管理程序
-
服務中斷回復程序
-
資訊委外管理程序
-
文件管理程序
-
安全組織程序
-
帳號管理作業程序
-
資訊安全教育作業程序
-
入侵防範與系統強化作業程序
-
矯正預防作業程序
-
客戶文件管制作業程序
個人資訊保護涵蓋下列程序:
-
個人資料保護組織程序
-
個人資料檔案風險評鑑與管理程序
-
個資保護生命週期管理程序
-
個人資料檔案安全維護計畫程序
-
個人資料當事人權利聲明程序
-
業務終止後個人資料處理程序
-
個人資料安全控管作業程序
-
個人資料保護緊急應變處理作業程序
-
個人資料委外監督控管作業程序
針對前述資訊安全管理、個資保護相關實務,每年延請公正第三方組織依據國際標準之要求實施兩次驗證稽核,並於每次驗證稽核之前擇期由本公司「稽核小組」實施內部稽核。前述稽核所發現之不符合事項與改善建議,均須依據本公司「矯正預防作業程序」完成改善及存證。
-
每季一次電腦主機弱點掃描
-
每半年一次網站弱點掃描
-
每半年一次全員電子郵件警覺性測試
-
每年一次滲透測試
-
至少每季一次全員端點電腦防駭檢測
-
建置及維運防火牆、網路入侵偵測系統、網站應用防火牆系統、防毒系統
-
7X24 全年無休SOC資安監控
-
每半年一次資安新知與資安規範宣導活動
-
每年一次全員線上資安測驗
-
建置網路隔離、SSL VPN加密通道、跳板主機相關存取控制機制,跳板主機並實施作業錄影存證
影響營運事件之監控與通報應變
針對SOC資安監控所發現或人工通報之資訊、網路系統異常事件,依循本公司之「電腦安全事件管理程序」,先經過人工研判後決定事件等級,之後依據事件等級啟動對應之程序,包含緊急聯絡、客戶通知、事件鑑識、證據保全、法務與公關處理等作業。
如果發生重大資安事件、重大疫病感染、天災等而導致本公司服務中斷或有中斷疑慮時,則依本公司之「服務中斷回復程序」啟動應變組織,包含電腦設備搶修小組、系統回復小組、網路回復人員、資安回復人員、客服與公關、分地上班群組等,依程序進行必要的系統回復、服務回復、溝通、公關等作業。