資料日期:中華民國113年1月
| 項目
|
申報內容
|
| 敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
|
【資通安全風險管理架構】依據本公司「資訊安全政策」設立、組成「資訊安全管理委員會」,統籌資訊安全政策、計畫、資源調度等事項之協調及研議。本公司資訊部「資安科」為資訊安全管理專責單位,資安專責主管於會計年度終了日前,向董事會報告前一年度資訊安全整體執行情形,並由董事長、總經理、總稽核、總機構法令遵循主管及資安專責主管聯名出具內部控制度聲明書,提報董事會通過。
【資通安全政策】本公司訂有「資訊安全政策」,為強化本公司之資訊安全管理,落實資訊安全政策,並衡量及參酌單位需求,確保資訊的機密性、完整性與可用性、資訊設備(包括電腦硬體、軟體、週邊)與網路系統之可靠性,及同仁對資訊安全之認知,並確保上述資源免受任何因素之干擾、破壞、入侵、或任何不利之行為與企圖。
【具體管理方案】一、管理面:本公司自2017年開始導入資訊安全管理制度(ISMS),通過「ISO 27001:2013資訊安全管理系統」國際標準認證,取得認證有效性及PDCA循環落實執行。二、技術面:(一)配合法令規範定期執行電腦系統資訊安全評估各項作業(例:主機作業系統弱點掃描,對外服務網站滲透測試、網頁弱點掃描),確保本公司資訊系統安全防護能力。(二)強化資訊安全防禦保護本公司資訊設備安全,已於各網路安全區域建置防火牆(FireWall)、對外網際網路服務已建置網路應用程式防火牆(WAF)以及入侵防護系統(IPS)資安設備、DDoS防護等以防禦外部攻擊。(三)已加入 F-ISAC並藉由F-ISAC所提供資安情資提升資安防護能量,2023年建置資安監控中心(SOC)以7*24全時段維運監控。(四)已建置「郵件防護」(外寄郵件審核)、「端點防護」(USB、光碟外接式)及「上網安全」(網頁瀏覽、個資上傳) 資料外洩防護機制,防止個資或機敏資料誤傳、遭第三人竊取或外洩情事發生。
【投入資源管理】一、第三方驗證、評估及檢測:(一)2023年11月完成ISO27001:2022轉版、取得驗證且無不符合事項,本公司將持續透過外部驗證機構做有效性查核,以符合國際標準認證資訊安全及強化資訊安全防護能力。(二)112年完成電腦系統資訊安全評估作業,依規範要求完成各評藉由外部評估建議及執行改善作業,確保資安制度與防護之完整度與有效性。(三)112年委託專業機構完成通過行動裝置應用程式(APP)安全檢測,符合經濟部工業局「行動應用App基本資安檢測基準」規範安全要求。二、資訊安全防護演練:每年定期辦理年度阻斷服務攻擊(DDoS)演練、社交工程演練、異地備援演練及病毒暴發惡意程式演練。三、資訊安全訓練:全體同仁每年需接受資訊安全教育基本訓練3小時(含)課程,資訊安全專責人員每年則至少接受15小時(含)以上資訊安全教育訓練、不定期做資訊安全宣導,以建立提升資訊安全意識。
|
| 列明最近年度因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實及原因。
|
本公司112年度未發生重大資通安全事件。
|
| 資通安全風險對公司財務業務之影響及因應措施。
|
【資通安全風險對公司財務業務之影響及因應措施】
一、對公司財務影響:遭遇駭客攻擊對本公司業務營運有重大衝擊,如(1)個資外洩(2)DDoS攻擊造成對外網站服務中斷,遭駭客要求支付勒索金,造成本公司商譽及金錢損失。
二、發生風險之作業機制:
(一)事前防護:建立網路防禦縱深機制,強化本公司資安防護設備、落實資料備份管理、建立及落實資訊安全教育訓練,以及定期執行相關演練作業。
(二)事中應變:發生資安事件時,應立即判斷事件重要性,依發生事件啟動應變作業,如為重大事故應向主管機關及公會通報,必要時尋求外部資安單位或向刑事局報案。
(三)事後復原:發生資安事件後應執行復原工作,並透過惡意樣本分析,修正改善現有不足之資訊安全防護機制,強化本公司資訊安全防護,減少外部攻擊發生之情事。
|
※附註:
本表單係配合111年5月25日發布修正之「財產保險業辦理訊公開管理辦法」及「人身保險業辦理資訊公開管理辦法」第8條第3項第2款規定而新增,自111年終了後三個月內開始申報。
※申報頻率:
除主管機關另有規定外,應於年度終了後三個月內更新。