1. 資通安全風險管理架構
2. 資通安全政策
本公司組織為有效落實資訊安全管理,透過涵蓋集團各單位權責人員共同組成的「資安與隱私保護小組」,於每季召開例行會議,依據規劃、執行、查核與行動(Plan-Do-Check-Action,PDCA)的管理循環機制,檢視資訊安全政策適用性,持續推動與追蹤保護措施的有效性,並定期與資安與隱私保護委員會報告執行成效,達到資安與時俱進的目的。
3. 具體管理方案
本公司於民國110年9月14日收到內部EDR防禦系統告警,此事件影響客服值機台服務中斷兩小時。此次服務中斷的主要原因是值機台系統AP遭受SQL Injection攻擊,透過EDR防禦機制及時告警與IT人員緊急處理,有效遏止攻擊擴散,其他資訊系統與聯網設備均未受波及。檢討此次事件於資料的完整性與機密資訊皆未受到影響,雖然關鍵業務運作造成停頓,但因本公司對於客戶端採多渠道方式提供售後服務,故值機台服務中斷兩小時並未影響客戶權益。本公司已採取相關防護措施,如:限制sql存取、關閉xp_cmdshell功能,進一步值機系統升級措施也在進行中。本公司雖已編列適當的預算強化資訊技術安全,但仍無法保證公司免於惡意軟體的攻擊。
資通安全風險與因應措施
本公司已建立全面的網路與電腦相關資安防護措施,但無法保證其控管或維持公司營運與會計等重要企業功能之電腦系統能完全避免來自第三方目的性網路攻擊行為。這些網路攻擊以非法入侵方式入侵公司的內部網路系統,進行破壞本公司營運及損及公司商譽等活動。在遭受嚴重網路攻擊情況下,本公司的系統可能會失去公司重要資料,關鍵業務運作系統可能因此停擺。本公司透過持續檢視和評估其資訊安全規章與程序,以確保其適當性和有效性,但不能保證公司在瞬息萬變的資訊安全威脅中不受推陳出新的風險和攻擊所影響。網路攻擊也可能企圖竊取公司的營業祕密及其他機密資訊,例如客戶或其他利害關係人的專有資訊以及本公司員工個資等等。
惡意的駭客亦能試圖將電腦病毒、破壞性軟體或勒索軟體導入本公司的網路系統,以干擾公司的營運或對本公司進行敲詐或勒索,取得電腦系統控制權,或窺探機密資訊。這些攻擊可能導致公司因延誤或中斷訂單而須賠償客戶的損失;或需擔負龐大的費用實施補救和改進措施,以加強公司的網路安全系統;也可能使本公司因涉入公司對其有保密義務之員工、客戶或第三方資訊外洩而導致的相關法律案件或監管調查,而承擔重大法律責任。
本公司過去曾因為要滿足客戶端需求所下載的網路元件有包含惡意程式或因個人警覺性不夠導致員工筆電被駭客入侵並利用來對其他入侵後的主機進行連線與操作,未來也可能面臨類似的攻擊。為了預防及降低此類攻擊所造成的傷害,本公司落實相關改進措施並持續更新,端點防護上導入具有惡意軟體保護的新一代防毒軟體,功能包含:
除此之外,在保護系統方面,強化具派送功能伺服器安全,如防毒軟體中控、AD伺服器、資產管理系統等因具有軟體派送功能,更需注意安全更新;最小化開放埠的設置,勒索軟體可能會利用對外曝露的服務和開放埠(例如 RDP埠3389和SMB 埠445)在網路中傳播,除了確認其開放的必要性外,還應確認使用這些服務的對象為可信任;強化網路防火牆與網路控管以防止電腦病毒擴散,阻止任何與已知惡意IP、URL 的網路連線行為,禁止使用允許任何連線的規則,只允許與對外服務的IP、DN進行連線;貫徹人員最小使用權限原則,減少攻擊者獲得管理權限的機會,控制和限制存取權限,對於管理者以外的使用者僅提供工作所需的最低權限,定期檢視並禁用非活動帳戶,實施多因子身分驗證等;提高資安意識,定期對員工進行培訓,建立良好資安意識及網路使用習慣,例如識別可疑電子郵件,不要隨意點擊連結,不打開未知或不受信任來源的電子郵件的附件,並進行社交工程演練,提高訓練成效。在保護資料方面,維護更新的備份並保持離線,定期執行備份與演練;加密重要或敏感資料,導入具有文件加密功能之軟體與文件保全管理系統,避免機敏資料外洩;落實3-2-1備份原則;依據RTO、RPO與MTPD之要求選擇重要系統製作映像檔(image file),可以利用這些映像檔達到快速部署恢復。在準備事件應變計劃方面,於事件發生之前就先制定好事件應變計畫並進行演練,同時也要準備好當事件發生時可尋求協助的外部資安單位、警調清單與聯絡方式。
大世科配合政府2050淨零碳排目標,及上市櫃公司溫室氣體盤查資訊接露時程,提供零碳路徑解決方案俾利企業遵循及訂定減碳目標,並配合政府減碳計畫,透過上市櫃公司串聯供應鏈,以零碳整合管理系統協助企業永續發展。
了解更多: 大世科ESG零碳整合管理系統
風險項目 | 風險因素 | 2022年對公司之影響 | 因應措施 |
資訊安全 | 資訊安全風險係指可能影響整體企業組織之資產、流程以及作業環境之威脅。 | 落實公司資安政策,持續取得ISO資訊服務及資訊安全雙認證資格,展現大世科在資訊安全與資訊服務系統上的專業服務。 |
|