資通安全
公司資通安全深度分析報告
一、資通安全風險管理架構
1.1 風險管理體系
1.1.1 風險評估機制:
🔹依據ISO 27001標準,建立完整的風險評估流程,並定期進行風險再評估,以適應最新的威脅環境。
🔹透過 風險辨識→風險分析→風險評估→風險應對,確保風險管理的有效性。
1.1.2 治理架構
🔹董事會與高層管理:制定資安政策,確保資安戰略符合企業目標。
🔹資安專責單位(資訊安全處理小組):負責執行風險評估、資安監控與應變措施。
🔹全體員工:遵循資安規範,提升安全意識。
1.2 風險評估流程
1.2.1 年度資安風險評估:
🔹盤點資訊資產,識別潛在威脅與漏洞。
🔹評估風險對營運的影響程度,制定應對策略。
🔹定期檢視風險應變計畫,確保計畫可行。
1.2.2 弱點管理與滲透測試:
🔹每年進行弱點掃描與滲透測試,識別系統弱點。
🔹2024年執行一次弱點掃描與滲透測試。
🔹針對高風險弱點,進行修補。
1.2.3 資安事件應變與回應:
🔹建立事件等級分類與應變機制(低風險→重大風險)。
🔹報告事件 >> 展開應變 >> 完成改善報告。
🔹2023~2024年未發生重大資安事故。
二、 資通安全策略
2.1 資安政策目標
🔹確保機密性:防止未授權存取企業內部資訊。
🔹維護完整性:確保資訊的準確性與未經竄改。
🔹提升可用性:確保授權人員可正常存取資訊系統。
🔹符合法規要求:遵守 個資法、上市上櫃公司資安法規。
2.2 主要資安管理規範
2.2.1 存取控制:
🔹採用最小權限原則(Least Privilege),依職務需求設定權限。
🔹定期審查與調整存取權限,確保帳號安全。
2.2.2. 資料保護與備份:
🔹定期備份重要業務資料,並建立異地備援機制。
2.2.3 供應鏈安全:
🔹要求委外供應商簽署 資訊安全合約,明確規範責任與義務。
🔹定期稽核供應商的資安管理措施。
三、 具體管理方案
3.1身分驗證與存取控制
3.1.1多重身分驗證 (MFA):
🔹高風險系統強制使用MFA(如ERP、CRM、雲端管理系統)。
3.1.2 帳號管理:
🔹定期審查使用者權限,停用長期未使用帳號。
🔹員工離職時關閉員工帳號,避免存取風險。
3.2 網路安全管理
3.2.1 內部網路防護:
🔹部署防火牆(Firewall)、入侵偵測與防禦系統(IDS/IPS)。
🔹禁止未授權設備連接內部網絡,強制執行網路隔離。
3.2.2電子郵件安全:
🔹啟用垃圾郵件與釣魚郵件過濾系統。
🔹定期進行社交演練工程,提升員工資安意識。
🔹2024年進行3次社交工程演練測試。
3.3 資安事件應變機制
3.3.1事件處理流程:
🔹事件發生後,提報並啟動應變計畫。
🔹建立事件紀錄,提交改善報告。
3.3.2災難復原計畫(DRP):
🔹每年至少一次災難還原演練,確保業務持續性。
四、 資通安全管理資源投入
4.1 人員資源
4.1.1資安專責團隊:
🔹設立專門的資訊安全小組,負責風險評估與資安防護。
🔹針對系統安全與權限控管,每月進行一次審視,為有資安風險的系統或人員權限進行即時調整,提升內部資安防護能力。
4.1.2 資安教育訓練:
🔹新進同仁報到即進行一次資安教育訓練。
🔹2024年全體員工進行一次資訊安全宣導,加強員工對資安的認知。
🔹2024年資訊組高風險職位額外進行資安培訓1次。
🔹2024年進行三次釣魚郵件測試,提升員工防詐騙意識。
4.2 技術資源
4.2.1 系統與工具:
🔹SIEM (安全資訊與事件管理):自動分析安全事件。
🔹端點防護 (EDR/XDR):防範勒索軟體與惡意攻擊。
4.3財務資源
4.3.1 資安預算投入
🔹增強雲端安全、端點防護、事件監控 相關投資。
🔹持續投資AI威脅偵測、零信任架構(Zero Trust),確保資安先進性。
4.4 合規與認證
4.4.1定期接受外部資安稽核,確保資安合規。
結論
透過完善的資通安全風險管理架構、明確的資安政策、具體可執行的管理方案及持續加大資源投入,本公司能有效提升資安防護能力,降低資訊風險,確保業務永續經營。