公司資訊安全宣導

目錄 Show
近期偽冒政府機關網域發送勒索用戶之詐騙郵件
網頁置換攻擊(Website Defacement)預防與應變措施
企業應強化資安防護、供應鏈管理，以降低資安風險
美國資安主管機關指出 36 種顯著漏洞正遭大規模濫用於攻擊，建議用戶應立即修補
俄羅斯相關之資安產品可能引發資安議題，建議採取對應措施以降低風險
電郵易遭駭客竄改遂行詐騙，企業應落實資安防詐教育訓練
LINE 安全性設定檢視宣導
留意實聯制QR Code詐騙，發送簡訊前須確認正確的傳送對象
雲端服務安全設定強化措施
TWCERT/CC資安宣導懶人包
連結預覽功能存在隱私洩漏風險
Ubike幾年前當機事件，提醒務必加強防護意識以確保資訊安全
勒索病毒AgeLocker被用來攻擊 NAS儲存設備，使用者應及時更新以避免遭受威脅
美國財政部、聯邦調查局、國土安全部、網戰司令部發出聯合警訊，警示北韓政府針對多國金融機關從事駭侵活動
部分APP潛在資安風險及個資洩漏問題，使用者應謹慎處理
國內門禁設備商修復產品資安漏洞，請立即更新韌體
防疫與防駭－資安新思維
TWCERT近期監控到四種惡意程式的感染趨勢增加，提醒大家注意防範
企業資安之道- 勒索軟體的攻與防
企業遭勒索病毒駭侵，建議提升員工資安意識

資訊安全政策

本公司資訊安全之權責單位為資訊安全部，該部設置資訊主管乙名，與專業資訊人員數名，負責訂定內部資訊安全政策、規劃暨執行資訊安全作業。
本公司已於2021年3月2日，成立「資訊安全管理委員會」，審視公司資訊安全政策與監督資訊安全運作情形。由財務長擔任主席，成立跨部門小組，加強對於資訊安全工作的橫向溝通，以利資訊安全政策的推動與落實，並定期向董事會報告資訊安全執行成果，最近一次對董事會報告日期為2021年11月5日。

智慧財產管理計畫
資訊安全政策
< 回到風險管理

採PDCA（Plan-Do-Check-Act）循環式管理，確保目標之達成及持續改善。

企業的永續經營與運作，資訊系統已是不可缺少的一環。近年來，各國內外大小企業頻傳資訊安全事件，如：相關的勒索軟體、惡意軟體、商業郵件詐騙、惡意網域名稱…等，都對企業造成了鉅大的損失。為此，本公司制定了相關因應的資訊安全政策，確保本公司之營運順利運作，防止資訊或資通系統受侵害，並維護公司資料之完整及機密性。

對資訊安全的管理機制、措施與資訊事件通報程序，敍述如下。

本公司資訊安全管理機制，包含以下四個面向：

資訊政策的制定：訂定公司資訊安全作業管理辦法，明確訂定人員對於資訊作業的行為。
資訊科技的運用：建置資訊安全管理設施，並持續提升與汰換軟、硬體資訊設施，以符合當前資安風險控管。
資安宣導與訓練：於公眾集會與信件中，持續對人員進行資訊安全宣導與教育訓練，提昇全體同仁對於資安意識。
資安稽核與改善：本公司稽核部門定時稽核資訊安全部，針對資安與網路風險以風險評估之流程進行風險評估，適切提出控制點建議，資訊安全部依此作調整與改善，並針對評估後之高風險系統進行對應的管理機制，以利控管資安風險。

本公司實施之資訊安全管理措施，包含如下，其類別 / 風險說明 / 控制措施詳如下列：

權限管理	人員帳號與權限授權管理人員帳號權限管理與審核人員帳號權限定期覆核人員密碼定期更換
存取管控	人員存取內/外部資源、及資料傳輸控制內/外部網路連線與存取管控機制電腦軟體安裝權限管制
外部威脅	病毒入侵防護主機及電腦弱點偵測/定期掃描/病毒碼定期更新防火牆入侵偵測/病毒/惡意程式防護連外網頁安全過濾
系統可用性	系統與服務中斷預防資料本地/異地備份措施，本地/異地機房備援每年定期災害復原演練
郵件安全管理	郵件防護郵件存取管控結合MFA多重身份認證郵件病毒防護及惡意程式偵測郵件惡意連結保護，避免網路釣魚防垃圾郵件過濾
本公司鑒於資安險為新興保險種類，考量保險範圍、理賠範圍、理賠鑑識、鑑識機構資格、適用行業等議題綜效，本公司經評估後，暫緩投保資安險。但為強化應對日新月異的資訊攻擊事件，除了透過定期檢查防火牆安全政策、防毒軟體之病毒碼定期更新、與定期備份資料於異地外，對於災害復原演練訂於每年施作，以確保備份機制之正常運作，並能符合系統復原目標。