資通安全管理策略
資通安全管理策略與架構:
敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。(法規依據:年報準則第 18 條第 6 款第 1 目)
一、資通安全風險管理架構
宇峻奧汀科技股份有限公司在民國一一二年成立「資訊安全委員會」負責執行資訊作業安全管理規劃,建置與維護資訊安全管理體系,統籌資訊安全及保護相關政策制定、執行、風險管理與遵循度查核。資訊安全委員會由總經理擔任主席,並由資訊處處長擔任督導暨資訊安全長,公司內各單位(包含資訊管理部、產品技術部、平台開發部等)主管均為委員會成員;另依據「公開發行公司建立內部控制制度處理準則」第9條之1規定,設置「資安室」,專責公司資訊安全及實體安全規劃與相關的稽核事項,亦主導此委員會運行。
資訊安全委員會每年定期透過會議,審核資安風險及對應的防護措施與方策,確保資訊安全管理體系持續運作的適用性、適切性及有效性。
二、資通安全政策
宇峻奧汀科技股份有限公司的資訊安全政策涵蓋本公司所有軟體以及硬體,是以「一、建立符合法規需求之資訊安全管理規範;二、透過全員教育與宣導,達成資訊安全人人有責的共識;三、保護公司所有資訊的機密性、完整性與可用性;四、提供安全的開發與作業環境,確保公司之永續營運」為指導準則。並以監測預警、入侵防禦、資料保護三大資安防護為主軸,建立資安監控中心(SOC)、企業威脅防護系統、網路及端點偵測與應變系統,以提升公司外部攻擊的防禦和內部機敏資料保護的能力。
並藉由全體同仁共同努力來達成下列目標,「一、保護本公司業務活動資訊,避免未經授權的存取或修改,確保其正確完整。二、執行資訊安全風險評估機制,提升資訊安全管理之有效性與即時性。三、重要的資訊安全設施應視需要評估建立備援架構,以確保系統可用性。四、實施資訊安全內部稽核制度,確保資訊安全管理之落實執行。五、公司應對資訊安全管理系統定期檢視並持續改善。」
三、具體管理方案
為達資安政策與目標,建立全面性的資安防護,推行的管理事項及具體管理方案如下:
- 提升資安防禦能力與風險控制:與第三方資安大廠合作,透過豐富資訊安全維運經驗人員,進行資訊安全實況監控及分析。藉由這些專職的資安人員全年無休(7*24)的監控服務,可於遭受資訊安全威脅時,適時的發出警報並協助資訊人員進行適當的風險處置。
- 精進資安管理程序:明定相關人員在資訊安全作業應扮演之角色,以作為各單位權責、權限分工之依據。定期演練災難還原計劃,以驗證資料備份之正確性及確保異地備援機制的可用性。
- 增進網路、端點及應用安全:提供精準 AI
分析網路風險,為每個端點作獨立行為分析,持續學習,以數學演算法找出異常狀態,可快速回應惡意攻擊,以確保公司於發生網路攻擊時,能將潛在損失降至最小的範圍。
- 教育訓練:每年至少一次加強宣導資訊安全政策及各項作業規定,並實施相關新進人員教育訓練課程,有效提昇同仁資訊安全意識。
- 遠端工作管制:實施零信任架構要求,試圖連接至組織系統的人員及個體均須先經驗證,方可取得存取權。多重要素驗證 (MFA)
為登入流程增加一層保護。存取帳戶或應用程式時,使用者提供額外的身分識別驗證,例如透過手機接收的簡訊或驗證碼。
四、投入資通安全管理之資源
資訊安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:
- 專責人力:指派人員兼任資安長,設置資安專責單位「資安室」(包含資安專責主管1名及至少2名資安專責人員),負責公司資訊安全相關政策、資安風險評估、研擬資訊安全工具導入,以維護及持續強化資訊安全。
- 教育訓練:資安專責人員每年至少完成8小時以上的資安專業訓練課程;所有新進員工到職後於新人教育訓練課程中完成資訊安全教育訓練課程;每年定期辦理全體員工(本年度約480人次)資訊安全宣導;每年度至少執行1次以上社交工程演練-模擬攻擊,以提升全體同仁資安意識。
- 資安公告:適時的依照現時資安新聞與資安風險事件進行公告,以傳達資安防護重要規定與注意事項。
- 資安工具與服務:
- 建立資安監控中心(SOC)-編例預算100萬元
- 導入企業威脅網域過濾與防護-編例預算150萬元
- 導入零信任網路存取多重身份驗證(MFA)機制-預算100萬元
- 佈署NDR 網路偵測與防禦系統-編例預算300萬
- 佈署MDR 端點威脅分析及自動防護服務-編例預算100萬元
- 資安會議:每年每季定期招開資安監控管理服務季報會議共4次。