資訊安全政策及管理方案

精誠為台灣資訊服務產業指標企業,重視利害關係人權益保障,透過持續強化資訊安全與個資隱私管理、並精進運作機制及推動作為,藉此化解內外部利害關係人可能面臨的資安風險與個資侵害課題。本公司循ISO 27001 資訊安全管理系統等多項ISO標準,整合跨部門、跨功能資訊能量,成立推動資訊安全與個資保護管理的「資安暨個資危機處理小組」,並建立符合標準的資訊安全管理制度;由小組負責推動集團資安管理政策、辦法與作業細則、實施資訊安全教育訓練、並落實相關管控與防禦作為。

在客戶權益方面,公司對於資訊服務的提供、建置、管理與維運等流程,依據產品與服務性質所衍生的作業方式與服務流程,逐一因地制宜的提供完善機制及申訴程序,如:金融相關產品設有客服中心,產品與系統維護設有線上服務支援中心,提供客戶高品質的支援服務。精誠提供的服務受「資安保密協定」規範,內部訂有「電子商務個人資料處理程序」控管,2021 年並未發生任何經證實違反客戶隱私之事件。

為確保資訊安全管理運作機制符合國際標準,精誠積極導入國際認證標準驗證。通過經過第三方獨立單位資安相關ISO 認證,包括精誠資訊:ISO 9001、ISO 27001 (DMIS、Data Center)、ISO 22301、BS 10012;精誠軟體服務:ISO 27001;奇唯科技:ISO 27001;康和資訊系統:ISO 27001;精誠科技整合:ISO 27001;泰鋒電腦:ISO 27001;台灣資服科技:ISO 27001。我們持續強化資訊安全管理,確保資料、系統、設備、網路安全,並保障人員安全、法令遵循、客戶權益及個資保護等。陸續推出的資訊安全相關服務也持續導入ISO 27001驗證,完善整體資安服務能量。

面對資安風險,公司內部以資安暨個資危機處理小組負責資安風險,並由資安Taskforce委員會提供集團資安管理的顧問諮詢、技術服務和資安教育訓練。資安暨個資危機處理小組除了綜理集團的資訊安全管理外,也支援已導入ISO 27001事業單位的資安暨個資事件處理。導入ISO 27001的事業單位都已組成資訊安全管理委員會,建置資訊安全風險管理架構,訂定資訊安全政策及具體管理方案。

精誠定期召開會議檢視是否發生資安事件,評估該事件對公司造成之影響與風險,提出具體改善計畫並持續追蹤改善情形。精誠在機敏的資訊服務上,每半年執行一次風險評估及相關檢討。2021年延續往年的風險評估作業,並未發現高風險項目,針對中低風險項目則交由相關單位依決定的控制調整進行處理,並列入後續的追蹤及回報作業。

緊急應變事件職責

持續協助第一線進行數位鑑識,包含現場數位證據之保全、擷取驗證、檢查分析及鑑識分析等。

  • 協助第一線單位於最短時間內完成數位證據之蒐證
  • 調查評估個資侵害事件範圍及其嚴重程度
  • 判斷是否邀集外部顧問、數位鑑識專家協助處理

資訊安全管理機制

資安事件

2021年發生之資安事件,絕大部分在用戶瀏覽下載期間,已被用戶端防毒系統阻隔,無真實落地攻擊;或是在縱深防禦的安控機制下受到保護,未達到內部啟動資安危機處理機制之條件,也未達到法定通報主管機關之等級。在2021年未發生任何經證實違反資料洩漏之事件。

MIS重大事件應變流程

當監測系統、機房等單位進行事件通知時,將啟動應變作業及建立應變組織,在調查問題與提出解決辦法的同時,確認事件等級與影響範圍,並決定與執行應變措施,解決事件後執行復原作業並記錄事件。

外部稽核

精誠為落實資訊安全管理機制,依循ISO 27001 資訊安全管理系統標準,建構公司資安管理系統機密性、完整性及可用性,規劃事前預防、過程監控到緊急應變的管理作為,以確保資訊安全風險管理的有效性。

除了實施公司層級的ISO 認證,如:ISO 9001、ISO 27001、ISO 22301、BS10012,公司亦積極鼓勵同仁學習與精進資安相關證照,目前集團累積取得符合資通法規範資安證照計392張。

客戶隱私權與個人資料保護

精誠由權責單位負責建立個資保護規範,包含個人資料蒐集、處理及利用等有關管理措施,每年進行個資安全事故應變演練,確保個資事件因應及處理能力。另每年進行一次個人資料保護管理審查,確保個人資料保護政策落實執行。精誠取得「BS 10012:2017個人資訊管理系統」(PIMS) 國際標準驗證,持續落實個人資訊管理制度並通過續審驗證。精誠提供的服務亦受「資安保密協定」規範,內部訂有「電子商務個人資料處理程序」控管,2021 年並未發生任何經證實違反客戶隱私之事件。

 

定期實施各項危機處理演練

為使發生緊急資安危機能迅速應對,資安暨個資危機處理小組設置五大面向演練,包括社交工程演練、資安演練、弱點掃描、測試機房防災演練、資訊系統復原演練,每年皆規劃1 ~ 2次演練,對象涵蓋集團台灣各子公司、測試機房、共用資訊系統等。2021年五大面向演練全數完成,已進行超過20場外部實地查核,並支援子公司ISO 27001 驗證、精誠NOC ISO 27001 內部稽核2場,及完成145份回覆外部稽核問卷。

【社交工程演練】為持續增進員工對郵件安全意識,每年實施兩次演練,2021年兩次新型社交工程演練測試結果符合「國家資通安全通報應變作業綱要」及「防範惡意電子郵件社交工程施行方案」規定,惡意郵件點擊率結果均遠低於合格率(6%),歷年演練已逐漸降減整體點擊惡意郵件情形,顯示資安意識的提升。

【測試機房防災演練】測試機房演練模擬機房火災發生情形,並做出相對應變,例如模擬疏散至避難集合地點、向單位主管及消防自衛編組指揮官回報災情等。此外,每週各機房使用單位代表皆會針對消防、溫度、監視器等面向,進行機房檢核,並填具檢核紀錄至測試機房管理網站,統計安檢異常類別及據點。

資安升級計畫

2021年持續推動「集團資安升級計畫」,執行項目包括「集團Outlook郵件升級」、「Cyber Center (SOC) 集團防禦升級」、「規劃建置自有SESC郵件防護」,提高資安防護能力。

項目 執行內容
集團Outlook郵件升級
  • 提高同仁生產效率與高安全及大容量信箱
  • 精誠集團台灣區員工電郵信箱100% Office 365上雲
  • 精誠集團台灣區已建置完成Exchange Hybrid Deployments架構地端Exchange Server 2016主機
Cyber Center集團防禦升級
  • 全集團94%的網端設備已導入Cyber Center防禦
規劃建置自有SESC郵件防護
  • 強化BEC (Business Email Compromise) 偵測能力
  • SESC已完成導入14間子公司,並逐漸導入至全集團

為強化同仁資訊安全意識,2021年持續實施資訊安全相關教育訓練。

  • 全集團同仁資訊安全宣導及測驗,共培訓6,742人次
  • 全集團同仁資安通識3小時線上課程,共培訓3,486人次、累計時數10,458小時
  • 專案同仁專業資安課程9小時線上課程,共培訓375人次、累計時數3,375小時
  • 資安種子專業訓練實體課程共36堂,共培訓1,135人次、累計時數15,503小時