• 配合政府法令,參考 ISO 27001:2013 資訊安全管理系統 架構,衡酌公司之需求,建立 PDCA 管理循環,強化資通訊 安全管理,並確保公司資訊資產之機密性、完整性及可⽤性 符合法規要求及公司需求,避免遭受內、外部的⼈為蓄意或 天災意外之威脅。
• 建立資通安全縱深,強化資訊聯防。
• 深耕資通安全意識,提升安全預警。
• 負責部門:資訊部
• 專責主管:總管理處副總
• 專責人員:1位理級主管、1位資深資訊工程師
• 申訴機制:部⾨分機。
• 資安專責主管參與外部專業機構培訓 16 ⼩時,取得 ISO 27001 主任稽核員證書。
• 資通安全理級主管參與 ISO 27001 訓練全期共 16 ⼩時,研習期滿並通過考試取得 ISO 27001 證書。
• 10 ⽉聘請中華治理協會講師開課「企業事位轉型如何兼顧智能安全風險共創三贏」,訓練 3 ⼩時,41 ⼈參與。
• 12 ⽉各部⾨派員參加「資訊安全種⼦教育訓練宣導會」,訓練 1 ⼩時,15 ⼈參與。
• 於 1 ⽉、6 ⽉、9 ⽉及 12 ⽉共召開 5 次資安會議,由總管 理處副總主持會議,資訊部理級主管及資深⼯程師提報資安 執⾏內容。
益航以資安專責主管帶領資安專責⼈員進⾏資安風險評估,流程略如下: ⾸先檢視益航整體資安現況,根據利害關係⼈過往曾經對公司提出的資安議題、 同業關注議題及最新資安發展趨勢,初步篩選出對益航⽽⾔具有密切關連性的 資安議題,再依照機密性、完整性及可⽤性分別評估發⽣機率與衝擊程度,最 後列出⼆項重⼤資安風險議題,分別為數位資訊安全風險及⼀般資料保護規範, 益航分別擬定資安策略並提出管理作為進⾏後續管控。當年度益航未有因發⽣ 重⼤資安事件造成公司營運中斷或財務損失之情事。
• 數位資訊安全風險
• ⼀般資料保護規範
• 每季定期更新韌體,以強化各項防護,替換老舊軟體來建立完整資訊系統安全防護網,包含防火牆、機房、網路設備、網路
連線及個⼈資訊設備管理,以落實資料保護。
- 每⽇寄發防火牆報告,查閱前⽇資安事故⽇誌,針對警告事件檢視其狀態與分析。
- 內部官網宣達資安意識不隨便開啟來路不明的 E-Mail 或下載來路不明的檔案。
- 每⽇將備分結果郵寄⾄資安專責⼈員,查閱相關進度。
- 防火牆系統設置,進⾏每⽉備分。
- 每⽇定時監控機房狀態,如 溫控、燈號檢視、穩定供電、⼈員進出管制等等。
- 每⽇監控網路連線狀態、郵件收發狀態是否正常運作。
- 每位在職員⼯簽署業務保密協議,不得擅⾃攜出公司業務資料及不得上非法網站及不得安裝非公司所屬之軟體或外接硬體設備,截⾄ 2024 年底在職員⼯ 48 ⼈,簽署比率達100%。
• 加強⼈員資安意識的教育訓練,為提⾼員⼯資通安全意識,適
時透過各種管道進⾏資安相關訊息公告宣導。
- 資訊部⼈員須參與外部所舉辦之相關訓練活動或研討會,
吸取資通安全防護機制及最新資通安全攻擊型態,資通安
全防護能量。如:主管機關舉辦之資安宣導會、外部專業
機構資安管理課程等等。
- 資訊部舉辦資通安全宣導教育訓練,以宣達資通安全的重
要性及應遵循事項。
- 資訊部隨時提供資通安全之實事案例給全體同仁知悉,作
為防範違反資通安全之⽰警,以提⾼資通安全之素養。
- 資訊部規劃於 2025 年導入社交⼯程演練,預計每年執⾏執
⾏三次演練,提⾼⼈員資通安全之意識。違反資通警⽰⼈
員,將接受資通安全宣導教育訓練。
- 資訊部亦規劃於 2025 年導入軟體政策⽩名單,減少潛在因
⼈員疏忽,導致誤⽤含有漏洞威脅及軟體版權相關程式。