|
資通安全
資通安全治理制度
本公司為保護資訊資產(包括但不限於資料、軟體、硬體設備等)及個人資料之安全,防止因外部威脅或內部管理失當,致使資訊資產或個人資料被竊取、竄改、毀損、滅失或洩漏,由總經理擔任總召集人於104年11月成立資安暨個資管理推動委員會,依據ISO規範制定資訊安全政策與個人資料保護管理政策,並每年定期向董事會報告資通安全及個人資料保護作業遵循情形及稽核狀況。112年度間因應新版ISO27001規範,更新委員會名稱為資安暨個資管理與危機應變委員會,又於113年將資安與個資拆分為各自獨立之委員會並更名為資安管理與危機應變委員會,113年度 「資通安全治理」運作情形於同年12月25日向董事會報告 。
資安管理與危機應變委員會由各部門主管組成並由營業本部最高主管擔任主席,每年不定期依據我國資通安全管理法、個人資料保護法及其他相關法令修訂資通安全政策,轄下另設有資安風險規劃與推廣小組、風險管理暨危機應變小組、部門資安管理代表暨危機應變聯絡窗口及稽核小組,負責各項資通安全作業。資安風險規劃與推廣小組由各部門推派人員組成,負責擬定並實施教育訓練與認知宣導;風險管理暨危機應變小組由營業、行銷、資訊、財務、稽核、客服部門派員組成,負責作成資通安全風險評估及管理報告並擬定風險處理計畫送資安管理與危機應變委員會審查;稽核小組由資安主管、財務、稽核部門派員組成,負責擬定資通安全稽核計畫及執行稽核作業,並作成稽核報告送資安管理與危機應變委員會審查。
資通安全管理策略
本公司為降低資訊安全風險,維護機敏與完整資訊,進而提升整體資訊服務品質,特訂定本 公司資訊安全政策,本政策旨在闡述本公司管理階層對資訊安全管理之要求與執行方向並展現管理階層對資訊安全管理之支持與承諾,期能達到建立資訊安全體系、具備安全應變能力及健全資訊發展環境等三大目標。本政策為本公司各項業務及人員在資訊安全相關作業之最高指導原則。
- 管理政策:
本公司資訊安全管理政策為保護資訊資產之機密性、完整性與可用性,進而提供安全、穩定及高效率之整體資訊服務。
- 安全目標:
以機密性、完整性與可用性為基準,訂定安全目標。爲有效量測資安目標是否達成,每年須審核年度資安之具體量化管理指標並說明量測標準。
資通安全管理機制
本資訊安全管理體系係為確保本公司重要資訊資產之安全,藉由成立資訊安全組織,制訂標準規範及作業程序、控制潛在之威脅及漏洞、規劃風險評估、設計與建置控管機制、遵行覆核檢查及檢討改善等四大階段,持續強化資訊安全管理機能。
- 規劃與建立(Plan):
定義資訊安全管理體系實施範圍及資訊安全政策,規劃系統化風險評鑑方法,以評估影響資訊資產安全之威脅、漏洞及現行控管機制。
- 實施與運作(Do):
依據風險評估結果設計、修正、建置及實施應有之控管機制,以及早發現安全事件並迅速因應處理,達成預期之管理目標。
- 監督與查核(Check):
執行監督程序與管制措施,以觀察各項安全作業與技術是否落實有效,並即時發現錯誤、安全漏洞或安全事件。定期實施資訊安全查核,並依據查核結果、安全事件與相關單位之建議與回應,以檢討資訊安全管理之有效性,並透過定期審查資安議題,落實資訊安全控管。
- 維運與改進(Act):
落實資安管理體系改進作業,針對安全事件或查核結果採行適當之矯正與預防措施,並與相關單位溝通協調系統改進作業之行動與結果,以確保達成預期目標,且持續維護資訊安全管理體系之運作。
具體管理措施
公司於資訊研發部門內配置有一名資安專責主管及一名資安專責人員,定期審視內部資訊安全規範,根據網路架構、弱點、威脅與影響性,分析內部風險水平,並以此風險評估結果制定安全措施強化項目。
所有使用資訊系統之人員,每年須接受資訊安全宣導課程或資訊安全通識教育訓練,另負責資訊安全之主管及人員,每年須接受資訊安全專業課程訓練。
資訊安全管理體系每年至少進行一次資訊安全查核作業,以檢討控管措施與程序是否遵循相關標準、法令規章或資訊安全需求,並依預期規劃有效維護與執行。內部查核作業之規劃應考量查核對象或範圍之重要性與現況,定義查核之標準、範圍、頻率與方法,確認資訊安全查核人員之客觀與公正,並妥善保存相關紀錄。受查核單位對於不符合事項應及時採行改善措施,並追蹤、驗證其有效性。
為達精進且提升整體資訊安全環境目標,除制定安全管理辦法、人員教育訓練外,並協助各單位盤點公司所有資訊資產與個資資產,加以定義識別,以釐清資訊資產所可能面臨的風險,再選取適當的方法加以管控,期許將風險降低到可承受的程度,以確保公司業務持續運作。並搭配各式管理工具,於發生問題時主動通報,使問題均被加以紀錄與追蹤管理;對不符合項目採取矯正措施以控制並矯正之,並處理其相關後果,找出不符合項目其發生原因並消除之使其不再發生。具體管理機制包括:
- 資安事件管理
- 委外作業管理
- 帳號及授權管理
- 軟體系統開發與維護管理
- 個人電腦安全管理
- 機房安全管理
- 網路安全管理
- 資料備份及儲存媒體保管
- 資訊系統備援機制演練
- 危機應變管理
- 個人資料檔案安全維護及個人資料處理
- 個人資料侵害事件數位鑑識管理
- 資訊資產暨風險評鑑管理
資訊安全管理體系之改善
- 「持續改進」
應經由資訊安全政策、安全目標達成結果、內外部資訊安全查核結果、事件監控之分析、矯正與預防措施以及定期審查資安議題等機制,以持續改進資訊安全管理體系之有效性。
- 「矯正措施」
則應採取適當的控管措施,以減少資訊安全管理體系建置與運作過程中所發現之不符合事項,防止再度發生。矯正措施之作業程序如下:
- (1)指出資訊安全管理體系建置與運作之不符合事項。
- (2)確認不符合事項的原因。
- (3)評估為防範再發生所需採行之措施或考量現況而採行之標準調降措施。
- (4)決定及實作所需之矯正或調降措施。
- (5)記錄矯正措施之執行結果。
- (6)審查矯正措施之執行結果。
- 「預防措施」
應採取適當的控管措施,以預防不符合事項之發生。預防措施之作業程序如下:
- (1)指出潛在之不符合事項及其原因。
- (2)記錄預防措施之執行結果。
- (3)審查預防措施執行之結果。
- (4)分析風險變化情形,並特別注意明顯變化之風險。
- 「矯正與預防措施之實行時機」
- (1)資訊安全管理體系查核、資訊循環稽核或其它單位查核提出之不符合事項,由職責單位負責追蹤矯正預防措施以及不符合事項之改善進度。
- (2)影響本公司商譽之資安事件發生,如客戶資訊外洩或違反法令等重大異常事件應有適當的紀錄,由相關單位負責追蹤矯正預防措施及相關改善進度。
資通安全風險與因應措施
本公司根據ISO27001規範訂定資訊安全及個資相關辦法,但無法確保透過以上之管控,可完全避免來自外界的網路攻擊。就公司營運型態,如遭受嚴重攻擊,恐對公司加油站現場營運POS系統、交易結算、ERP系統、資料庫、郵件收發等均有可能造成輕重不等的影響,如營運中斷、會計結帳無法及時、公司對外聯繫受阻、影響遠距辦公及會議等;此外,也可能造成於機密資料如利害關係人資料外洩而衍生損失或法律責任。
為強化公司資安,就入侵防禦、網路安全及系統安全三個面向,公司已就相關風險進行辨識並採取因應措施,說明如下:
-
入侵防禦與防毒方面:
公司運用不同屬性面向之防護機制,分別是防毒軟體端點防護、垃圾郵件防護及針對主機另加裝EDR進階端點防護,同時針對官網及APP另採雲端WAF來進行網頁使用之防護。在這多重的運作下,面對過去一年的眾多威脅,也都能周全防護。為確保公司環境安全,機房內所有網通設備及主機均簽有維護廠商,並視需要及時進行韌體或修補程式安裝,每季進行定期維護檢查,並視使用及檢查結果進行調整。
-
網路安全方面:
分為兩部分,一是透過ISP防駭服務做前端的第一重阻攔,避免暴力性質的攻擊,二是使用次世代防火牆,透過規則以及應用層的封包分析,進行判讀,如明確的則予以阻攔或拒絕。目前年度資安健檢為自行下載軟體進行,未來擬委由專業廠商進行。檢查內容除了網路架構分析、網路效能評估,以確認網路是否有隱藏的問題,並針對重要節點及主機進行效能及安全性分析,以及早發現不足之處進行加強並擬定未來的調整方向。
-
系統安全方面:
113年度弱點掃描並無重大性缺失。主要風險仍是公司尚有Windows Server 2003系統,為系統老舊的安全性隱患與已知風險,屬可接受的風險或誤判,現已加快升級速度處理中。
考量公司資訊作業現況及根據以往經驗,資安風險仍在現有資安防護可控範圍內。為因應未來日趨險峻的資安威脅可能造成的企業損失,將持續強化資訊安全防護管理,朝向零信任之目標前進。
|