資通安全執行情形

 

114年資通安全執行情形報告

一、 資訊安全管理架構

本公司組織結構在總經理下設有獨立資訊部,負責維護資訊系統運作、資訊設備問題排解、資訊系統專案計畫執行及資訊安全維護。

二、 資訊安全政策

為確保公司網路和資訊使用環境安全及穩定,本公司已訂定「電腦化資訊系統控制作業」、「資訊系統管理辦法」、「資訊安全管理辦法」、「精華生醫資訊機房管理辦法」、「精華生醫資訊系統持續運作辦法」、「資安事件應變處置及通報作業程序」,並由資訊部草擬「資通安全管控指引」及負責推行及落實本規定之資通安全作業,其內容如下:

  • 遵循資訊安全相關法令,制定相關資訊安全政策,以確保核心資料及資訊資產的安全性及完整性、可用性。
  • 針對各種可能危害公司資訊資產風險進行評估,並提出修正或預防措施並制定對應的資安對策,以確保資訊資產不受威脅。
  • 宣導並落實資訊安全防護工作,提升人員的資訊安全意識,降低風險威脅。

三、 資訊安全管理方案與執行情形

資訊部依據資訊安全政策執行表列管理作業以維持本公司資訊安全穩定運作與提升使用者資安意識:

管理事項作業說明執行情形
電腦設備安全管理
  • 機房人員進出管制
  • 機房環控管理
  • 不斷電系統維運
  • 本公司電腦主機、各應用伺服器等設備均設置於專用機房,機房門禁採用專用鑰匙進出,且保留進出紀錄存查。
  • 機房內部備有兩台獨立空調,維持電腦設備於適當的溫度環境下運轉。
  • 機房主機配置不斷電與穩壓設備,避免意外瞬間斷電造成系統,或確保臨時停電時不會中斷的運作。
網路安全管理
  • 強化網路控管
  • VPN管理
  • 強化網路控管,與外界網路連線的入口,配置企業級防火牆,阻擋駭客非法入侵。
  • 完成主機弱點掃描共12台及官網滲透測試,確保系統安全。
  • 建立網站SSL傳輸加密與公開憑證金鑰。
  • 員工由遠端登入公司內網存取ERP系統,必須申請VPN帳號,透過VPN的安全方式始能登入使用。
病毒防護與管理
  • 端點防護
  • 郵件防護
  • 合法軟體
  • 伺服器與員工終端電腦設備內均安裝有端點防護軟體,病毒碼採自動更新方式,以偵測、防止具有潛在威脅性的系統執行檔之安裝行為。
  • 依據相關規定執行社交工程演練,共61人次、122封郵件,不合格人員再教育,以確保員工不誤點擊惡意郵件。
  • 偵測員工終端電腦設備內所安裝的軟體,禁止使用公司所列之非法及未授權軟體,工作上所需之軟體均取得合法授權。
資安事件管理
  • 遵循資安事件應變處置及通報作業程序
  • 訂閱資安情資電子報(資安人),並不定期向員工宣達重大資安事件。
  • 114年無重大資安事件。
營運持續管理
  • 依據精華生醫資訊系統持續運作辦法進行系統復原演練,確保資訊系統不中斷
  • 依規劃完成系統復原演練與文件記錄。

四、 資安事件

指標資安客訴事件外部破壞、竊取資料或病毒威脅事件資訊系統異常或設備異常影響營運事件
114年事件統計0 件0 件0 件