資通安全管理

資通安全管理

博智電子為保護公司資訊資產安全,降低因內部或外部之蓄意或意外之各種威脅與破壞,制定資通安全管理政策及資訊安全管理辦法,以落實公司資通安全管理的穩健運作,建立安全及可信賴的資訊作業環境。設有專責單位資安辦公室與資訊安全專責主管,負責統籌並執行公司資訊安全策,宣導資訊安全訊息,提升員工資安意識,並不定期進行內部資訊安全檢查。「稽核室」為資訊安全監理之查核單位,若查核發現缺失,即要求受查單位提出相關改善計畫與具體作為,且定期時續追蹤改善成效,以降低內部資安風險。組織運作模式-採 PDCA(Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善。

資訊安全風險管理架構

 

資訊安全政策

目的:

保護公司資訊資產安全,降低因內部或外部之蓄意或意外之各種威脅與破壞,導致公司之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,並維持業務營運持續運作。

資訊安全基於以下三點面向:

1. 機密性:

  • 文件及資料定義機密等級,若為機密文件則以文件加密軟體控管
  • 系統權限嚴格管制,未經核准之使用者不得接觸機密資料
  • 經外部網路連入公司系統,一律使用SSL VPN

2. 完整性:

  • 嚴格控管非經授權的使用者或處理程序篡改資料
  • 資訊系統開發及設計時,必須重複驗証程式邏輯或處理程序的正確性

3. 可用性:

  • 讓資料隨時保持可用狀況
  • 重要的網路設備及資訊系統必需確保不能中斷服務
  • 資料必需即時並可靠的提供給企業內部各個層級的使用需求

 

具體管理方法:

項目方案說明
網路安全
  • 入侵偵測防禦系統 (IPS)
  • 防護APT功能 (Advanced Persistent Threat)
  • 網站過濾模組 (URL filter)
  • 病毒與惡意程式防護
  • 加密式虛擬私人網路 (SSL VPN)
  • 關閉不必要port,針對風險高的網站一律禁止(封鎖)
郵件安全
  • 防護APT功能 (Advanced Persistent Threat)
  • 病毒與惡意程式防護
  • 阻擋垃圾郵件、釣魚郵件、間諜程式、郵件炸彈、跳板發送等威脅
端點防護
  • 作業系統定期更新
  • 主機防毒軟體 (Antivirus)
  • 員工電腦防毒軟體
  • USB權限管制
資安教育訓練
  • 不定期參與各項資訊安全的研討會
  • 定期內部宣導、規劃社交工程演練等預防措施,藉此提升全體員工之資安意識

 

投入資通安全管理之資源

  • 加入台灣電腦網路危機處理暨協調中心(TWCERT/CC),可適時取得外部資安資訊分享及資安事件協助因應管道。
  • 資安人力: 資安主管一名及資安人員一名,負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂。
  • 建置端點偵測及回應機制,有效監控端點的異常行為,判斷是否有駭侵事件,並及時處置、避免風險。
  • 每年執行弱點掃描作業,針對檢測結果中的高風險項目進行改善,透過強化措施持續提升資安防護品質。
  • 所有新進員工皆完成資訊安全教育訓練
  • 不定期發布資通安全防護和時事案例宣導,同仁電腦開機自動顯示資安宣導文宣
  • 對於提升員工的資安意識,防止個人電腦遭受駭侵釣魚郵件的滲透,排定釣魚郵件演練,以評估員工的資安警覺性,並根據結果進行相應的資安教育與培訓。