資通安全風險管理架構
-
資通安全推動組織設立
- 由公司高層管理者(如 CEO)直接負責協調及推動資通安全,確保資通安全成為企業戰略的一部分。
- 由高層主管(如 CIO 或 CTO)擔任資安專責主管,視實際需求成立資通安全小組,指派適當人員擔任資安專責人員,負責訂定、實施並定期審查資通安全政策及目標。
- 所有使用資訊系統之人員每年須接受資訊安全宣導課程,資安專責主管及資安專責人員每年需參加資訊安全專業課程訓練。
-
跨部門協調與資源調度
- 依據實際需求,成立跨部門的資通安全小組,成員包括資訊部、法務部、財務部、人力資源部、產品部等,統籌資訊安全政策、計畫、資源調度及風險管理,確保各部門間的協調與溝通。
-
資通安全風險評估流程
- 造冊管理公司所有的信息資產,包括數據、系統、軟硬體設備、網絡資源等。
- 定期進行資產盤點並進行資通安全風險評估,識別可能的威脅和漏洞,並評估其對公司業務的潛在影響。
- 根據風險評估結果,制定應對措施,如漏洞修補、風險轉移、風險接受等。
資通安全政策
-
政策訂定與審核
- 資通安全政策由總經理以上主管核定,每年定期檢視,以確保其適用性及有效性。
- 資通安全政策包括核心業務保護、資通系統盤點、風險評估、資通系統維護、安全防護、事件應變、委外管理及持續改進等方面。
- 公司於民國 99 年建立資訊安全作業規範辦法(E04N01),建構資訊安全管理文件,作為現行的資訊安全管理作業依據,以確保公司資訊資產的機密性、完整性、可用性及個人資料的保護。
-
政策傳達與教育
- 定期向全體員工傳達資通安全政策的重要性,確保每位員工理解並遵守公司制定的資通安全規範。
- 每年定期舉辦資訊安全宣導課程,確保所有使用資訊系統的員工理解資通安全的重要性。
-
資通安全風險評估流程
- 造冊管理公司所有的信息資產,包括數據、系統、軟硬體設備、網絡資源等。
- 定期進行資產盤點並進行資通安全風險評估,識別可能的威脅和漏洞,並評估其對公司業務的潛在影響。
- 根據風險評估結果,制定應對措施,如漏洞修補、風險轉移、風險接受等。
具體管理方案
-
資通系統發展及維護
- 將資安要求納入系統開發及維護需求規格,包含機敏資料存取控制、用戶登入身分驗證、多因子驗證機制及輸入輸出檢查等。
- 定期執行資通系統的安全性測試及弱點掃描,系統上線前執行原始碼掃描安全檢測,並建立修復計劃及跟進措施。
-
資通安全防護措施
- 建置並強化資通安全防護措施,包括防毒軟體、網路次世代防火牆、入侵偵測系統、應用程式防火牆及資安威脅偵測管理機制等。
- 針對機敏資料建立實體隔離、加密、存取權限控制等防護措施。
-
異地備援及演練
- 制定異地備援計畫,定期進行資料備份,備份資料至少保留 7 個周期,每年進行至少一次核心系統的災難復原演練,確保系統的高可用性和復原能力。
- 制定並定期演練核心業務持續運作計畫,確保在發生意外情況時能迅速恢復運作。
-
資安意識宣導
- 定期舉辦資安培訓,涵蓋基本資安知識、新型威脅應對及個人資安責任。
- 定期進行社交工程演練,如模擬釣魚攻擊,提升員工對釣魚攻擊的識別和防範能力。
- 對誤開啟釣魚郵件的員工進行教育訓練,並保留相關紀錄以供後續改善。
投入資通安全管理之資源
-
人力資源
- 配置專業的資安管理人員,負責監控、維護公司資通安全運作。
- 提供資安專責人員及相關技術人員專業培訓,確保他們具備應對各類資通安全威脅的能力。
-
技術資源
- 投入資金購置及維護先進的資通安全設備,如防火牆、入侵偵測系統、應用程式防火牆等,提升整體安全防護水平。
- 定期進行軟硬體盤點及更新,確保系統安全性和合法性。
-
管理資源
- 制定資通安全管理的相關規範和作業程序,包含系統盤點、風險評估、事件應變、系統維護及弱點修補等。
- 定期審查及更新資通安全政策,並向高層管理者報告資通安全運作情形,確保策略的適當性及有效性。
-
投入費用
- 114 年度:$1,857,544
- 113 年度:$1,857,544
- 112 年度:$2,263,939
重大資通安全事件
-
- 114 年本公司未發生影響營運風險的重大資安事項。
- 113 年本公司未發生影響營運風險的重大資安事項。
- 112 年本公司未發生影響營運風險的重大資安事項。
員工相關訓練實施情形
114年度舉辦與誠信經營議題相關之內、外部教育訓練(含誠信經營法規遵行、旅行業旅遊糾紛處理教育訓練、旅行業資安教育訓練、個資相關教育訓練…等)累積共約1,000人次,合計約1,050小時。(詳請請參閱誠信經營執行情形)