| 資訊安全永續

資料/客戶隱私、資料安全、技術中斷風險管理、設備設施的環境足跡

永續資通安全管理

著重資安風險管理、建構多層資安防護、監控資安管理成效、落實檢討與持續改善

1. 資通安全風險管理架構

  • 本公司為因應各類資安威脅情事,於2018年正式導入ISO27001:2013標準進行風險管理,透過國際標準及指引提升資訊安全治理綜效。為致力降低營運風險機率與影響,達到提升資安治理成熟度之目標。
  • 2019年04月成立『資訊安全推動委員會』,審視集團公司資訊安全治理政策,監督資安暨個資管理運作情形,以確保資訊安全及個資保護運作的有效性,並由委員會召集人定期向董事會報告資安治理概況。
  • 「資訊安全推動委員會」由董事長擔任主席,總經理擔任召集人,委員會成員包含集團BG主管、稽核單位主管、ISMS執行秘書及PIMS執行秘書共同組成;委員會下並成立跨部門維運小組,用以落實公司資安治理與政策之執行,建構全方位的資安防護能力,讓資訊安全活動擴及集團內部各部門,每年度由執行秘書召開一次資訊安全管理會議。
  • 2021年12月並將組織更名為「資安與隱私保護委員會」,顯示組織對於隱私權保護議題之重視。

2. 資通安全政策

  • 著重資安風險管理、建構多層資安防護、監控資安管理成效、落實檢討與持續改善

本公司組織為有效落實資訊安全管理,透過涵蓋集團各單位權責人員共同組成的「資安與隱私保護小組」,於每季召開例行會議,依據規劃、執行、查核與行動(Plan-Do-Check-Action,PDCA)的管理循環機制,檢視資訊安全政策適用性,持續推動與追蹤保護措施的有效性,並定期與資安與隱私保護委員會報告執行成效,達到資安與時俱進的目的。

3.  具體管理方案

  • 〔規劃階段〕著重資安風險管理,建立完整的資訊安全管理制度(ISMS),持續通過國際資安管理系統認證(ISO/IEC27001),從系統面、技術面與程序面降低企業資安威脅,建立符合客戶需求的高規格機密資訊保戶服務。
  • 〔執行階段〕則建構多層資安防護,持續導入資安深縱防禦創新技術,將資安管控機制整合內化於軟硬體維運、供應商資安管理等平日作業流程,系統化監控資訊安全,維護公司重要資產的機密性、完整性及可用性。
  • 〔查核階段〕則積極監控資安管理成效,依據查核結果進行資安指標衡量及量化分析,並透過定期模擬演練資安攻擊進行資訊安全成熟度評鑑。
  • 〔行動階段〕則以檢討與持續改善為本,落實監督與稽核以確保資安規範持續有效,當員工違反相關規範及程序時,依據資安違規處理流程進行處置,並視違規情節進行人事處分(包括員工當年度考績或採取必要的法律行動),此外亦依據績效指標及成熟度評鑑結果,定期檢討及執行包含資訊安全措施、教育訓練及宣導等改善作為,確保本公司重要機密資訊不外洩。

本公司於民國110年9月14日收到內部EDR防禦系統告警,此事件影響客服值機台服務中斷兩小時。此次服務中斷的主要原因是值機台系統AP遭受SQL Injection攻擊,透過EDR防禦機制及時告警與IT人員緊急處理,有效遏止攻擊擴散,其他資訊系統與聯網設備均未受波及。檢討此次事件於資料的完整性與機密資訊皆未受到影響,雖然關鍵業務運作造成停頓,但因本公司對於客戶端採多渠道方式提供售後服務,故值機台服務中斷兩小時並未影響客戶權益。本公司已採取相關防護措施,如:限制sql存取、關閉xp_cmdshell功能,進一步值機系統升級措施也在進行中。本公司雖已編列適當的預算強化資訊技術安全,但仍無法保證公司免於惡意軟體的攻擊。

資通安全風險與因應措施
本公司已建立全面的網路與電腦相關資安防護措施,但無法保證其控管或維持公司營運與會計等重要企業功能之電腦系統能完全避免來自第三方目的性網路攻擊行為。這些網路攻擊以非法入侵方式入侵公司的內部網路系統,進行破壞本公司營運及損及公司商譽等活動。在遭受嚴重網路攻擊情況下,本公司的系統可能會失去公司重要資料,關鍵業務運作系統可能因此停擺。本公司透過持續檢視和評估其資訊安全規章與程序,以確保其適當性和有效性,但不能保證公司在瞬息萬變的資訊安全威脅中不受推陳出新的風險和攻擊所影響。網路攻擊也可能企圖竊取公司的營業祕密及其他機密資訊,例如客戶或其他利害關係人的專有資訊以及本公司員工個資等等。

惡意的駭客亦能試圖將電腦病毒、破壞性軟體或勒索軟體導入本公司的網路系統,以干擾公司的營運或對本公司進行敲詐或勒索,取得電腦系統控制權,或窺探機密資訊。這些攻擊可能導致公司因延誤或中斷訂單而須賠償客戶的損失;或需擔負龐大的費用實施補救和改進措施,以加強公司的網路安全系統;也可能使本公司因涉入公司對其有保密義務之員工、客戶或第三方資訊外洩而導致的相關法律案件或監管調查,而承擔重大法律責任。

本公司過去曾因為要滿足客戶端需求所下載的網路元件有包含惡意程式或因個人警覺性不夠導致員工筆電被駭客入侵並利用來對其他入侵後的主機進行連線與操作,未來也可能面臨類似的攻擊。為了預防及降低此類攻擊所造成的傷害,本公司落實相關改進措施並持續更新,端點防護上導入具有惡意軟體保護的新一代防毒軟體,功能包含:

  • 即時掃描:可實時偵測有害檔案以防止對電腦造成威脅;
  • 深層防護:可以確保使用者端使用安全的應用程式,應用程式的安全透過受信任的雲端服務核實,如果無法核實安全,則將啟動以監控應用程式行為;
  • 資料保護:可以監控受保護資料夾以封鎖可疑應用程式的活動;導入MDR威脅偵測應變服務,主動獵捕可疑威脅,將蛛絲馬跡與可疑行為透過AI技術快速提供情資達到高效能自動資安風險偵查。

除此之外,在保護系統方面,強化具派送功能伺服器安全,如防毒軟體中控、AD伺服器、資產管理系統等因具有軟體派送功能,更需注意安全更新;最小化開放埠的設置,勒索軟體可能會利用對外曝露的服務和開放埠(例如 RDP埠3389和SMB 埠445)在網路中傳播,除了確認其開放的必要性外,還應確認使用這些服務的對象為可信任;強化網路防火牆與網路控管以防止電腦病毒擴散,阻止任何與已知惡意IP、URL 的網路連線行為,禁止使用允許任何連線的規則,只允許與對外服務的IP、DN進行連線;貫徹人員最小使用權限原則,減少攻擊者獲得管理權限的機會,控制和限制存取權限,對於管理者以外的使用者僅提供工作所需的最低權限,定期檢視並禁用非活動帳戶,實施多因子身分驗證等;提高資安意識,定期對員工進行培訓,建立良好資安意識及網路使用習慣,例如識別可疑電子郵件,不要隨意點擊連結,不打開未知或不受信任來源的電子郵件的附件,並進行社交工程演練,提高訓練成效。在保護資料方面,維護更新的備份並保持離線,定期執行備份與演練;加密重要或敏感資料,導入具有文件加密功能之軟體與文件保全管理系統,避免機敏資料外洩;落實3-2-1備份原則;依據RTO、RPO與MTPD之要求選擇重要系統製作映像檔(image file),可以利用這些映像檔達到快速部署恢復。在準備事件應變計劃方面,於事件發生之前就先制定好事件應變計畫並進行演練,同時也要準備好當事件發生時可尋求協助的外部資安單位、警調清單與聯絡方式。
 

大世科配合政府2050淨零碳排目標,及上市櫃公司溫室氣體盤查資訊接露時程,提供零碳路徑解決方案俾利企業遵循及訂定減碳目標,並配合政府減碳計畫,透過上市櫃公司串聯供應鏈,以零碳整合管理系統協助企業永續發展。

 

了解更多:  大世科ESG零碳整合管理系統

風險項目 風險因素 2022年對公司之影響 因應措施
資訊安全 資訊安全風險係指可能影響整體企業組織之資產、流程以及作業環境之威脅。 落實公司資安政策,持續取得ISO資訊服務及資訊安全雙認證資格,展現大世科在資訊安全與資訊服務系統上的專業服務。
  1. 落實公司治理,2019年成立『資安暨個資推動委員會』,2020年擴大委員會組織成員至子公司,邀請子公司總經理及BG主管加入,2021年12月將組織更名為『資安與隱私保護委員會』,顯示組織對於隱私權保護議題之重視。
  2. 持續通過國際資安管理系統認證(ISO/IEC27001)。
  3. 為確保組織運作正常,強化風險管理,除有效管理與維護特權帳號管理系統、文件保護與檔案管理系統之外,今年度持續編列資安預算以鞏固資安防禦能量,譬如:MDR威脅偵測應變服務:主動獵捕可疑威脅,將蛛絲馬跡與可疑行為透過AI技術快速提供情資達到高效能自動資安風險偵查、新一代防毒軟體,做到即時掃描、深層防護、資料保護等功能。
  4. 貫徹人員最小使用權限原則,減少攻擊者獲得管理權限的機會,控制和限制存取權限,除管理者以外的使用者僅提供工作所需的最低權限;管理者權限亦應盡量避免使用已被駭客利用的攻擊手法,故全面停用powershell、regedit指令。
  5. 為降低來自外部的帳號攻擊,禁用非活動帳戶,實施多因子身分驗證。
  6. 落實資安防護,持續弱點掃描及滲透測試分析;並落實維護與執行大世科資安通報系統,掌握可能存在的資安事件風險與等級,並依重大事件擬定矯正措施以及持續追蹤改善。
  7. 為滿足RTO、RPO與MTPD之資安管理要求,降低內部營運衝擊,Server Farm導入主動式監控系統。
  8. 落實資安防護,持續使用Fortify源碼檢測掃描工具,運用靜態原始碼檢測分析工具(Static Code Analyzer,SCA)與 WebInspect 動態應用程式檢測工具進行測試與分析,找出程式碼或網站中的安全弱點與資安漏洞產出報告,深入目前企業資安威脅,並對應到此問題所在的程式碼行數,讓資安人員能快速修復安全弱點。杜絕惡意程式攻擊 360 度全方位守護企業資安並且降低維運成本。
  9. 外購軟體之系統供應商須提供安全性檢測證明文件始得驗收。
  10.  定期進行營運持續演練計畫(BCP),降低企業關鍵營運流程於遭受重大事故或災難事件導致業務中斷時的風險,例如:天災、傳染病、駭客攻擊、網路中斷..等影響。