• 配合政府法令,依照ISO 27001:2013資訊安全管理系統架構,衡酌公司之需求,建立PDCA管理循環,強化資通訊安全管理,並確保公司資訊資產之機密性、完整性及可用性符合法規要求及公司需求,避免遭受內、外部的人為蓄意或天災意外之威脅。
• 建立資通安全縱深,強化資訊聯防。
• 深耕資通安全意識,提升安全預警。
• 負責部門:資訊部
• 專責主管:副總
• 專責人員:1位理級主管、1位資深資訊工程師
• 資通安全理級主管參與「ISO27001」訓練全期共16小時,研習期滿並通過考試取得「ISO27001」證書
益航由資安專責主管帶領資安團隊進行資安風險評估,流程略如下:首先檢視益航整體資安現況,根據利害關係人過往曾經對公司提出的資安議題、同業關注議題及最新資安發展趨勢,初步篩選出對益航而言具有密切關連性的資安議題,再依照機密性、完整性及可用性分別評估發生機率與衝擊程度,最後列出二項重大資安風險議題,分別為數位資訊安全風險及一般資料保護規範,益航擬定資安策略並提出管理作為進行管控,資安專責主管參與外部專業機構培訓16小時,取得ISO 27001主任稽核員證書,強化益航在應對資安風險的能力,當年度未因發生重大資安事件造成公司財務損失。
• 採買最新、最具防護力的軟硬體設備,以強化各項防護更新,替換老舊設備來建立完整資訊系統安全防護網,包含防火牆加強版、機房、網路設備、網路連線及個人資訊設備管理,以落實資料保護。
• 加強人員資安意識的教育訓練,為提高員工資通安全意識,適時透過各種管道進行資安相關訊息公告宣導。
• 每日寄發防火牆報告,查閱前日資安事故日誌,針對警告事件檢視其狀態與分析。
• 公司內部網路宣達資安意識,提醒同仁不隨便打開來路不明的email或下載來路不明的檔案。
• 每日備分系統,郵寄至資安專責人員,查閱相關進度。
• 防火牆系統設置,進行每月備分。
• 每日定時監控機房狀態,如 溫控、燈號檢視、穩定供電、人員進出管制等等。
• 每日監控網路連線狀態、郵件收發狀態是否正常運作。
• 每位員工皆簽署業務保密協議,不得擅自攜出公司業務資料及不得上非法網站及不得安裝非公司所屬之軟體或外接硬體設備,截至目前應簽署員工48人,實際簽屬計48人。
• 資訊部人員須參與外部所舉辦之相關訓練活動或研討會,吸取資通安全防護機制及最新資通安全攻擊型態,資通安全防護能量。如:主管機關舉辦之資安宣導會、外部專業機構資安管理課程等等。
• 當年度開設「資訊安全內部宣導會」,參與人次15人,課程1小時。
• 當年度聘請中華治理協會講師開課「資訊安全治理的趨勢與挑戰」,參與人次38人,課程3小時。
• 資訊部門隨時提供資通安全之新聞案例給全體同仁知悉,作為防範違反資通安全之示警,提高人員資通安全之素養。
| 時間 | 課程名稱 | 出席人數 | 備註 |
|---|---|---|---|
| 113.10.17 | 企業數位轉型如何兼顧智能安全風險共創三贏 | 41人 | 聘任「中華治理協會」講師到府上課3小時 |
| 113.12.27 | 資訊安全種子教育訓練宣導會 | 15人 | 各部門派員參加,1小時 |
此外,資訊部隨時提供資通安全之實事案例給全體同仁知悉,作為防範違反資通安全之示警,以提高資通安全素養。
| 時間 | 議程內容 | 出席人數 | 與會議最高職級 | 提報人員 |
|---|---|---|---|---|
| 113.06.05 | 建構資通安全防範機制 | 3 | 總管理處副總 | 資訊部理級主管、資深工程師 |
| 113.10.16 | 資通安全災難還原演練計畫 | 3 | 總管理處副總 | 資訊部理級主管、資深工程師 |
| 113.12.05 | 資通安全年度檢討會 | 3 | 總管理處副總 | 資訊部理級主管、資深工程師 |
| 113.12.27 | 資訊安全種子教育訓練宣導會 | 15 | 總管理處副總 | 資訊部理級主管、資深工程師 |
最近年度及截至年報刊印日止,本公司因重大資通安全事件所遭受之損失或可能影響為零。