透过每年的风险评鉴作业,从各项可能的威胁与弱点组合中,分析出主要的项目包括:
3.1 诈骗集团利用伪冒的电子邮件,诱骗企业员工汇款或交易。
3.2 商业间谍或竞争对手运用骇客技术,持续渗透内部主机,窃取企业内部资料。
3.3 犯罪集团结合骇客,透过电子邮件、简讯、社群软体、通讯软体,散布具有恶意连结的内容,使受害电脑资料被加密绑架,要求付出高额赎金。
3.4 骇客透过网路发动大规模数量的连线要求,阻断公司正常网路的运作。
3.5 内部员工使用非法软体或将公司机敏资料复制到随身储存装置,因遗失、遭窃或贩卖,致使资料外泄。
3.6 天灾人祸造成资讯软硬体或受到损害,导致服务中断或资料遗失。
3.7 每年进行资安风险之评估,并寻求适当的资安保险转嫁风险。经评估后,整体资安风险的可能损失仍低,尚属自保之范围,每年评估结果亦报告董事会。
3.8 目前虽暂未投保资安险;在无投保资安险的情况下,针对以上的风险项目,运用资安管理准则、导入科技解决方案与强化资安教育训练,多管齐下做好资讯安全的管理机制,包括以下重点措施:
3.8.1 定期执行内外部稽核,2021.Q4通过ISO 27001:2013验证,2024.10通过年度验证稽核与新版验证标准的转版审查作业,并取得新版ISO 27001:2022证书,持续精进资安管理体系运作。
3.8.2 每年进行二次社交工程攻击仿真演练,针对未通过或是连续二次未通过的同仁,必须再上强化资安教育训练,提升员工对于邮件防护意识。透过每年的风险评鉴作业,从各项可能的威胁与弱点组合中,分析出主要的项目包括:
3.1 诈骗集团利用伪冒的电子邮件,诱骗企业员工汇款或交易。
3.2 商业间谍或竞争对手运用骇客技术,持续渗透内部主机,窃取企业内部资料。
3.3 犯罪集团结合骇客,透过电子邮件、简讯、社群软体、通讯软体,散布具有恶意连结的内容,使受害电脑资料被加密绑架,要求付出高额赎金。
3.4 骇客透过网路发动大规模数量的连线要求,阻断公司正常网路的运作。
3.5 内部员工使用非法软体或将公司机敏资料复制到随身储存装置,因遗失、遭窃或贩卖,致使资料外泄。
3.6 天灾人祸造成资讯软硬体或受到损害,导致服务中断或资料遗失。
3.7 每年进行资安风险之评估,并寻求适当的资安保险转嫁风险。经评估后,整体资安风险的可能损失仍低,尚属自保之范围,每年评估结果亦报告董事会。
3.8 目前虽暂未投保资安险;在无投保资安险的情况下,针对以上的风险项目,运用资安管理准则、导入科技解决方案与强化资安教育训练,多管齐下做好资讯安全的管理机制,包括以下重点措施:
3.8.1 定期执行内外部稽核,2021.Q4通过ISO 27001:2013验证,2024.10通过年度验证稽核与新版验证标准的转版审查作业,并取得新版ISO 27001:2022证书,持续精进资安管理体系运作。
3.8.2 每年进行二次社交工程攻击仿真演练,针对未通过或是连续二次未通过的同仁,必须再上强化资安教育训练,提升员工对于邮件防护意识。
3.8.3 用户端安装防毒与EDR(Endpoint Detection and Response)端点防护系统,提供实时异常检测和警报,取证分析和端点修复功能。同时封锁USB储存装置的连接与自行安装软体的权限。另提供备份档案服务器备份重要资料。
3.8.4 针对网路层,结合防火墙,针对网路的流量与应用进行管制。发展内网防护与资料库存取安全监控管理机制。
3.8.5 透过机敏文件管控系统DRM(Digital Right Management;数位版权管理)与磁碟加密技术,保护文件机密性。
3.8.6 运用邮件过滤及邮件稽核系统及Anti-APT,降低电子邮件使用的风险。
3.8.7 导入指纹辨识系统与刷卡系统于闸门管理,达到双因子认证实体安全需求。
3.8.8 主机集中管理,建立机房环控与告警机制,定期执行资料备份,并每年执行灾难备援演练。
3.8.9所有远程访问,强制使用多重要素验证(Multi-factor authentication)机制,降低密码被盗与撞库攻击的风险,并进行全程录像,有效记录使用行为与建立稽核轨迹。
3.9 每年进行二次重要的信息系统的灾难复原演练,以确保当系统异常发生时,在关键时刻能及时应变,降低系统downtime与减少对公司的营运影响。
3.10 在Y2022进行红队演练(Red Team Assessment),在不影响公司的营运下进行模拟入侵攻击,用以验证资安防守的侦测与反应能力,掌握潜在风险状况。并针对发现的8个资安漏洞,立即进行相关改善与防护措施,均已经完成改善。
3.11 在Y2024进行渗透测试(Penetration Test),针对存有高机敏数据的系统找出可能存在的漏洞并加以修补,以进一步改善与强化防护措施,并已经完成2个漏洞的改善与强化。
3.12 每周召集各信息系统负责人,针对当周的资安事件进行讨论,并采取必要的防护措施。
