資安管理架構
為強化資訊安全管理,確保自有及客戶及合作夥伴交付的資訊資產的機密性、完整性及可用性,以提供本公司資訊運作所需之環境與架構,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,中砂制定《資訊安全政策》,並依實際需要及符合相關法令要求建立資訊安全管理系統,適用範圍設定為本公司各廠區機房、資訊服務、維運作業系統及相關部門與維運管理人員,以充份掌握資訊運作及管理過程並滿足各項安全要求與期盼。在資訊安全管理組織架構層面,中砂以董事會作為資訊安全最高治理單位,並由資訊部擔負落實資訊安全政策之權責單位,並定期將管理成果向執行長及董事會呈報,確保執行成效與政策管理目標之一致性。
中砂深知資訊安全的重要性,故建立與資訊安全政策連結之短、中、長期資訊安全目標,以避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害。短期主要以導入對外網絡弱點掃描及布建防火牆為發展重心,建立更加完善的資安防護機制;中期則以加強員工的資訊安全教育訓練及設置資安專責單位為目標,提高全體同仁的資訊安全防護意識,並規劃導入ISO 27001以強化資安管理系統之有效性及運作成效;長期目標即致力於資安設備日誌集中化,並導入程式原碼資安檢測機制,持續優化管理流程及資安防護能力。
| 資訊安全管理措施 | ||
|---|---|---|
| 類型 | 說明 | 相關作業 |
| 權限管理 | 人員帳號、網路服務權限管理、系統操作資源權限管理 |
• 人員帳號定期稽核及密碼原則規範
• 系統帳號併入特權帳號管理系統 • 帳號權限審核及管理 |
| 存取管控 | 人員存取內外部系統資源及資料傳輸管道之控管措施 | • 內、外部主機系統資源管控及存取權限稽核措施 |
| 外部威脅 | 內、外部淺在弱點及中毒威脅防護 |
• 主機弱點防護及更新措施
• 內、外部網路防護系統 • 主機端點防護及防毒系統防護 |
| 系統可用性 | 系統狀態預警系統通知及監控 |
• 系統/網路狀態監控及異常通報機制
• 網路/主機中斷應變措施 • 系統資料備份及異地備份機制 • 定期災難復原演練計畫 |
| 設備安全管制 | 控管非授權設備及非法設備 |
• AD系統管制授權設備
• 資產管理系統控管合法授權資訊設備 |
落實資安保護
在中砂《資訊安全政策》及資安管理架構的系統化運行下,為進一步保障全體同仁、合作夥伴及其他使用者之權益,分析潛在風險對公司營運之衝擊,本公司制定《資訊安全管理辦法》,以「資訊安全事件管理、設備營運持續管理、法律遵循、內部稽核、外部機關之合作及協調及教育訓練」六大類別作為落實資安保護之核心策略。
原則:
• 建立正式的資訊安全事件通報程序,快速將資訊安全事件回報給管理人員,以便及時因應和處理。
• 資訊系統有關的人員、供應商和使用者,務必要遵守通報的要求,只要是發現或觀察到可疑的安全弱點,應即告知管理人員,以避免進一步的損害發生。
• 事故管理程序應包括事件的原因分析與鑑別、如何進行事件預防與矯正措施的規劃,以及是否需要蒐集相關證據,以便向主管機關進行通報,或是作為損害求償的證明。
• 為防止事件的再次發生,針對事件發生的頻率、損害情形、營業損失,應建立適當的評估和監控機制,記錄資安事故的過程以及所造成的衝擊,作為因應未來事件的依據。
處理流程:
各單位應透過營運持續管理的流程,配合實施各項預防和復原措施,防範潛在營運中斷風險,確保核心營運系統和業務流程不會受到災害事故的影響而能夠持續進行。
在政策、相關作業辦法和規範標準時,須符合並遵循政府之法律、法規、與上、下游廠商、客戶之合約,以及本公司內部之規範,以確保其符合企業安全聲明、目標及標準之要求,並定期鑑別本公司須遵行之相關法令規範,以利全體人員共同遵守相關規範。對於可識別出特定個人的資料,則遵循《個人資料保護法》所賦予對於個人資料的自主控制權利,落實個人隱私和個人資料保護。
• 資訊單位每年應依據《資訊安全內部評核表》自我執行一次內部稽核,並將稽核結果依規定填寫評核資料。
• 資訊安全相關辦法、規範應每年至少評估一次,以反映法令規範、資訊技術環境及業務之最新狀況,確保資訊安全之實務之可行性及有效性。
• 應每年檢討及評估各項軟、硬設備的安全性,以確保其符合《資訊安全政策》之標準。
• 資訊安全組織相關人員應與外部的資訊安全專家或顧問加強協調聯繫,相互合作,分享經驗,以評估可能面臨的資訊安全威脅,據以研擬及推動資訊安全實務措施。
• 應與業務密切相關的執法機關及資訊服務機構建立及維持適當的互動管道,以便在發生資訊安全事件時,能迅速獲得外部的資源協助,即時解決相關問題。
• 記載資訊安全事項之有關文件或資訊,在提供外部使用及進行經驗交流時,將予適當的限制,以防止載有資訊安全細節的敏感性資訊,遭未經授權的人員取用。
辦理資訊安全教育訓練,及不定期資訊部電子郵件宣導,推廣員工資訊安全之意識與強化其對相關責任之認知。
中砂計畫性的透過管理系統導入、內部稽核及人員培訓等形式不斷強化公司的資訊安全管理,同時每年定期委請外部單位進行弱點掃描及惡意威脅診斷,並根據評估分析結果進行政策與技術面的補強,以確保公司運作不受任何威脅。