企業永續

資通安全管理

資通安全管理

高林實業股份有限公司對資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源說明:

 

面對資安風險,本公司業已建置「資訊安全管理架構」,並規劃資訊安全政策及具體管理方案。

在資訊安全政策部分,依照資安三要素之機密性、完整性、可用性及法律遵循性,維護各單位執行業務之資訊安全,目標為提升資安防護意識及確保各項委外資通系統或服務符合目的,並深入規劃具體管理方案如資料庫備份加密、郵件沙箱偵測及過濾機制、核心資料3-2-1原則來進行保護。

資訊安全管理架構圖

資訊安全政策

   A.  目的:各單位應確保執行業務時,資訊之機密性、完整性、可用性及法律遵循性。

  • 機密性:確保經授權之人員始得使用資訊。
  • 完整性:確保資訊之準確性及可靠性。
  • 可用性:確保被授權之人員能取得所需資訊。
  • 法律遵循性:確實遵循資通系統設置或運作之相關法令規範。

   B.  目標:

  • 每年應完成資訊安全檢查辦法之要點,並降低相關風險之威脅。
  • 提升資安防護意識、強化偵測能力與防禦內外部攻擊等。
  • 確保委外辦理資通系統建置、維運或服務之各項措施與設定均符合目的要求。

   C.  責任:

  • 各事業單位所屬人員,包含接觸或使用資訊系統服務之相關作業,應充分了解資通安全政策之目的與目標,並遵守資通安全管理相關規定。

具體管理方案

  1. 檢視各項網路設備,關閉預設開啟或未使用之通訊埠,減少漏洞造成破口。

  2. 遠端管理設備設定來源位址連線規則,或改變預設連接埠。

  3. 各節點防火牆規則應明確定義來源與目的以及服務類別。

  4. 佈署端點防護與控制中心,確認更新定義與事件紀錄。

  5. 建置郵件外部過濾機制,搭配端點防護掃描,降低郵件感染風險。

  6. 資料庫防加密備份與備援建置。

  7. 重要資料集中管理與權限設定,並進行備份保存

實施原則

資訊安全管理作業之實施應依照規劃、執行、查核、以及持續改善等循環模式,確保資訊安全之持續性,並考量法規法令與技術演化、現有環境資源, 來進行適度且符合安全性之增修和審查,來確保資訊安全之有效性。

投入資通安全管理之資源

  • 112年10月增設資安專責主管與資安專責人員,規劃提昇資訊安全相關具體執行方案,並於113年3月加入台灣電腦網路危機處理暨協調中心(CERT_CSIRT)聯盟會員,可進行資安情資交換與預防可能的威脅,加強資安防護能量。
  • 計畫佈署MDR/EDR相關產品來強化端點防護以及資料保護。
  • 不定期以時事案例做為資通安全宣導,並於本年度辦理2次教育訓練,共計240人,5.5小時,以強化員工對資通安全之警覺性。
  • 針對新型態攻擊事件,負責資安相關人員對於新型態攻擊手法,以及報導事件與文件,均進行會議討論,並適時調整防禦措施。

年度重要事項討論

開會時間會議內容
112年07月03日資訊內控循環會議
112年10月23日設立資安主管、專責人員與相關法規討論
112年11月15日討論資安政策執行規劃
112年11月20日定案綜合商品零售業個人資料檔案安全維護計畫