資通安全管理

面對資安風險，本公司業已建置「資訊安全管理架構」，並規劃資訊安全政策及具體管理方案。在資訊安全政策部分，依照資安三要素之機密性、完整性、可用性及法律遵循性，來維護各單位執行業務之資訊安全，目標為提升資安防護意識
及確保各項委外資通系統或服務符合目的，並深入規劃具體管理方案如資料庫備份加密、郵件沙箱偵測及過濾機制、核心資料3-2-1原則來進行保護。

高林實業股份有限公司對資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源說明：

Ⅰ. 資訊安全管理架構

Ⅱ. 資訊安全政策

   A.  目的：各單位應確保執行業務時，資訊之機密性、完整性、可用性及法律遵循性。
        Ø  機密性：確保經授權之人員始得使用資訊。
        Ø  完整性：確保資訊之準確性及可靠性。
        Ø  可用性：確保被授權之人員能取得所需資訊。
        Ø  法律遵循性：確實遵循資通系統設置或運作之相關法令規範。
   B.  目標：
        Ø  每年應完成資訊安全檢查辦法之要點，並降低相關風險之威脅。
        Ø  提升資安防護意識、強化偵測能力與防禦內外部攻擊等。
        Ø  確保委外辦理資通系統建置、維運或服務之各項措施與設定均符合目的要求。
   C.  責任：
        Ø   各事業單位所屬人員，包含接觸或使用資訊系統服務之相關作業，應充分了 解資通安全政策之目的與目標，並遵守資通安全管理相關規定。

Ⅲ. 具體管理方案

  1. 檢視各項網路設備，關閉預設開啟或未使用之通訊埠，減少漏洞造成破口。

  2. 遠端管理設備設定來源位址連線規則，或改變預設連接埠。

  3. 各節點防火牆規則應明確定義來源與目的以及服務類別。

  4. 佈署端點防護與控制中心，確認更新定義與事件紀錄。

  5. 建置郵件外部過濾機制，搭配端點防護掃描，降低郵件感染風險。

  6. 資料庫防加密備份與備援建置。

  7. 重要資料集中管理與權限設定，並進行備份保存。

IV. 實施原則
 

    資訊安全管理作業之實施應依照規劃、執行、查核、以及持續改善等循環模 式，確保資訊安全之持續性，並考量法規法令與技術演化、現有環境資源， 來進行適度且符合安全性之增修和審查，來確保資訊安全之有效性。

V. 投入資通安全管理之資源
        Ø  112年10月增設資安專責主管與資安專責人員，規劃提昇資訊安全相關具體執行方案，並於113年3月加入台灣電腦網路危機處理暨協調中心(CERT_CSIRT)聯盟會員，可進行資安情資交換與預防可能的威脅，加強資安防護能量。

        Ø  計畫佈署MDR/EDR相關產品來強化端點防護以及資料保護。

        Ø  不定期以時事案例做為資通安全宣導，並於本年度辦理2次教育訓練，共計240人，5.5小時，以強化員工對資通安全之警覺性。

        Ø  針對新型態攻擊事件，負責資安相關人員對於新型態攻擊手法，以及報導事件與文件，均進行會議討論，並適時調整防禦措施。

VI. 年度重要事項討論