資安政策、組織與目標
為確保公司營運與業務永續發展制定資訊安全管理政策及程序,確保公司重要資訊資產之機密性、完整性與可用性,符合相關法規與規範之要求,持續監督及審查管理績效,以落實資訊安全管理及業務持續營運之理念,免於遭受洩密、破壞或遺失等風險,進而保障公司與員工之權益。
並成立「東台資安管理審查委員會」,審議整體資安策略與資安評量指標,督導公司資安管理運作,期提升資安量能降低資安威脅與風險。定期溝通檢討公司資安管理方案與事件應變,且每年向董事會報告資安推動狀況,並於2021年11月4日於董事會報告資安政策及落實情形。更多資訊請查看資訊安全政策。
東台資安委員會組織圖
資訊安全風險與管控
公司依照內控電腦資訊系統循環,制定相關風險管控措施與做法,確保系統持續運作。
(一)安全性:資安威脅管控
風險/管控 | 防禦機制 |
駭客入侵 |
防火牆Firewall原則管制、IPS防禦管制、防毒中控(Anti-Virus)與惡意程式偵測、網路流量監控(MRTG Traffic)、系統弱掃VA、封包檢測PI、資安事件分析(2021年0資安事件) |
郵件釣魚詐騙攻擊 | Anti-SPAM垃圾郵件過濾、eMail Archive郵件保存審核、定期社交工程演練(Social Engineering)、SPF寄件者政策框架驗證、DKIM網域驗證郵件、DMARC拒絕策略 |
系統漏洞攻擊 | WSUS定期系統更新(Update)、合規端點存取管控保護(NAC/NAP) |
資料安全 | 禁止使用未授權之軟體、授權軟體管控 |
設備安全 | 資訊機房門禁進出管制監控紀錄、電源/空調/消防監控、設備、網路可用性監控 |
(二)機密性:存取權限管控
風險\管控 | 防禦機制 |
機敏洩漏 | 帳號密碼管控、檔案存取監控、權限盤點、稽核驗證(2021年稽核0洩漏)、網路內外應用區隔管控 |
離退竊取 | 離退人員帳號權限管控、權限移除、外存裝置管控、遠端存取管理 |
設備故障 | 設備報廢處理管控 |
(三)可用性:應變與復原機制
風險\管控 | 防禦機制 |
資訊系統異常 | 重要系統可用率監控99.6%、業務持續運作計畫與應變演練 |
系統資料遺失 | 災難應變演練、資料異地備份(3-2-1法則推動) |
(四)宣導及檢核
風險\管控 | 防禦機制 |
端點入侵 | 資安教育訓練(2021年度參與人次達76%,考核測試平均92.6分)、社交工程演練(定期演練)、資安電子公告宣導(定期公告) |
資訊落實度 | 稽核驗證(內稽、ISO、AEO、會計師…)、資安管審會督促審核(年度召開) |
資訊安全管理方案與資源
東台精機公司座落南部科學園區(高雄路竹園區),得力於科學園區整體資訊資源推廣,主動加入成為[科學園區資安資訊分享與分析中心SP-ISAC]會員,經由SP-ISAC透過網站系統每日取得最新資安威脅事件與更新訊息並提供資安教育訓練服務,讓園區廠商得到最佳資安防禦管道與應變能力,更讓東台可以快速取得攻擊資訊後,直接加入閘道防禦資料庫中進行有效阻隔;並於2021年成功申請加入[台灣電腦網路危機處理暨協調中心TWCERT/CC]會員,從其取得企業資安事件諮詢及協調處理服務。
推動方案:
資安方案\資源 | 資安技術 | 資源 |
內網管控 | 2021年起推動網路存取控制(NAC):有效管控設備可視化Visibility、合規性Compliance與位址管理IPAM。 |
1.系統建置與MA 2.專責人員管控 |
資安健檢 | 2020年起推動[資安健檢]外部檢核:系統弱掃、網路封包檢測…等健檢測試與改善。 |
1.外部資安廠商檢測/複檢 2.專責人員改善修護 |
產品無毒出貨 | 2021/3起推動[智能機台無毒出車證明]措施,以確保公司資安品質與商譽。 |
1.透過專業防毒設備檢測離線掃描、產出報表佐證 2.出車部門專責人員掃描更新/檢核 |
GCB準則推動 | 2021/10起推動[GCB]企業端設置基準:期提供公司資安整體防護基礎標準。 |
1.GPO設定 2.專責人員測試/上線 |
資安安全實施與防護
東台精機為確保營運及重要業務永續運作,避免重要資訊系統因重大災難事件而導致服務無法持續之風險,定期每年進行災難復原演練,演練計畫內容包括:
1. 災難復原演練計畫: 重要目標、範圍、時間、人員
2. 災難復原演練規劃: 演練實施步驟與流程、所需資源
3. 災難復原演練衝擊分析: 演練之風險管理
4. 災難復原演練報告: 演練後之檢討與改善報告
依據演練的過程與紀錄,確保公司在災難時發揮應變復原能力,確保資訊安全事件發生時,有適當之管理程序供同仁遵循,降低資安風險。
為確保資訊系統使用安全與資安防禦能力,公司每年定期委外進行資訊安全健診作業,如弱點掃描和滲透測試,以確定資訊系統及網路環境符合安全標準,並針對外界重大資安攻擊事件適時召開資訊技術互相交流和應變會議,讓集團成員資訊系統安全,足以抵禦攻擊,建構資訊安全的完整防護網。