資訊安全政策及管理方案
SASB TC-SI-220, 230, 550
精誠為台灣資訊服務產業指標企業,重視利害關係人權益保障,透過持續強化資訊安全與個資隱私管理、並精進運作機制及推動作為,藉此化解內外部利害關係人可能面臨的資安風險與個資侵害課題。本公司循ISO 27001資訊安全管理系統等多項ISO標準,整合跨部門、跨功能資訊能量,成立推動資訊安全與個資保護管理的「資通安全技術處」,並建立符合標準的資訊安全管理制度,負責訂定集團資訊安全政策相關辦法與作業細則,包含「精誠集團資訊安全政策」、「精誠集團資訊安全管理辦法」及相關作業細則,並確實實施各項規定與資安及個資危機事件因應預防演練及管控,規劃執行資訊安全教育訓練,以落實相關管控與防禦作為。
在客戶權益方面,公司對於資訊服務的提供、建置、管理與維運等流程,依據產品與服務性質所衍生的作業方式與服務流程,逐一因地制宜的提供完善機制及申訴程序,如:金融相關產品設有客服中心,產品與系統維護設有線上服務支援中心,提供客戶高品質的支援服務。精誠提供的服務受「資安保密協定」規範,內部訂有「精誠集團個人資料保護管理辦法」控管,2023年並未發生任何經證實違反客戶隱私之事件。
資訊安全管理架構
為確保資訊安全管理運作機制符合國際標準,精誠積極導入國際認證標準驗證,並持續通過經過第三方獨立單位查驗的資安相關ISO 認證。
資安證照
精誠持續強化資訊安全管理,確保資料、系統、設備、網路安全,並保障人員安全、法令遵循、客戶權益及個資保護等。陸續推出的資訊安全相關服務也持續導入ISO 27001驗證,完善整體資安服務能量。除了實施公司層級ISO 認證,精誠亦積極鼓勵同仁學習與精進資安相關證照,2023年全集團同仁新取得證照114張 (含ISO 27001、ISO 23301、CCSP、CISSP、CISM、CEH、CND…等),集團同仁累計取得符合資通法規範資安證照計552張。
2023同仁新取得資安證照
至2023年底集團同仁累計取得資安證照
面對資訊安全推動及風險管理議題,精誠於2023年12月成立「資通安全技術處」作為資訊安全專責管理單位;「資安暨個資危機處理小組」作為風險管理委員會下設任務編組單位,負責定期向風險管理委員會匯報資安風險管理執行成效;另由「資安Taskforce委員會」提供集團事業體與關係企業關於資訊安全管理的顧問諮詢、技術服務和資安教育訓練建議。資通安全技術處除了綜理集團的資訊安全管理外,也支援已導入ISO 27001事業單位的資安暨個資事件處理。導入ISO 27001的事業單位都已組成資訊安全管理委員會,建置資訊安全風險管理架構,訂定資訊安全政策及具體管理方案。
精誠定期召開會議檢視是否發生資安事件,評估該事件對公司造成之影響與風險,提出具體改善計畫並持續追蹤改善情形。精誠在機敏的資訊服務上,每半年執行一次風險評估及相關檢討。2023年延續往年的風險評估作業,並未發現高風險項目。針對中低風險項目則交由相關單位依決定的控制調整進行處理,並列入後續的追蹤及回報作業。
持續協助第一線進行數位鑑識,包含現場數位證據之保全、擷取驗證、檢查分析及鑑識分析等。
2023年發生之資安事件,絕大部分在用戶瀏覽下載期間,已被用戶端防毒系統阻隔,無真實落地攻擊;或是在縱深防禦的安控機制下受到保護,未達到內部啟動資安危機處理機制之條件,也未達到法定通報主管機關之等級。在2023年未發生任何經證實違反資料洩漏之事件。
當監測系統、機房等單位進行事件通知時,將啟動應變作業及建立應變組織,在調查問題與提出解決辦法的同時,確認事件等級與影響範圍,並決定與執行應變措施,解決事件後執行復原作業並記錄事件。
MIS事件等級
精誠持續落實資訊安全管理機制,依循ISO 27001 資訊安全管理系統標準,建構公司資安管理系統機密性、完整性及可用性,規劃事前預防、過程監控到緊急應變的管理作為,以確保資訊安全風險管理有效性。
除了實施公司層級ISO 認證,如:ISO 9001、ISO 20000-1、ISO 27001、ISO 27701、ISO 22301、BS 10012,精誠亦積極鼓勵同仁學習與精進資安相關證照,2023年同仁新取得證照114張 (含ISO27001、ISO23301、CCSP、CISSP、CISM、CEH、CND…等)。截至2023年底,集團同仁累計取得符合資通法規範資安證照計552張。
2023同仁新取得資安證照
至2023年底集團同仁累計取得資安證照
精誠由權責單位負責建立個資保護規範,包含個人資料蒐集、處理及利用等有關管理措施,每年進行個資安全事故應變演練,確保個資事件因應及處理能力。另每年進行一次個人資料保護管理審查,確保個人資料保護政策落實執行。精誠取得「BS 10012 : 2017個人資訊管理系統」(PIMS) 國際標準驗證,持續落實個人資訊管理制度並通過續審驗證。精誠提供的服務亦受「資安保密協定」規範,內部訂有「精誠集團個人資料保護管理辦法」控管,並設有客戶隱私投訴信箱,2023年並未收到與侵犯客戶隱私權有關的投訴。此外,在2023年亦未收到任何來自政府或執法機構針對客戶資料的資訊請求。
為因應各公司行業別特性之差異,本集團各子公司皆設立個人資料保護法及資通安全管理法兩大體系之法規維護客戶權益,俾利各部門落實對客戶資料之保護,妥善保管客戶資料,在符合法令及授權範圍內合法蒐集、處理及利用客戶資料,並推行個人資料保護及資訊安全管理訓練課程,2023年度全集團同仁個人資料保護宣導及測驗共計7,834人次通過,確保同仁充分了解個人資料處理及保護的重要性,以維護客戶的隱私權。
為使發生緊急資安危機能迅速應對,資通安全技術處設置五大面向演練,包括社交工程演練、資安演練、弱點掃描、測試機房防災演練、資訊系統復原演練,每年皆規劃1~2次演練,對象涵蓋集團台灣各子公司、測試機房、共用資訊系統等。2023年五大面向演練全數完成,並配合客戶執行供應商資安實地查核超過50場次、支援子公司ISO 27001驗證、精誠NOC ISO 27001內部稽核,及完成回覆客戶供應商稽核問卷逾700份。
【社交工程演練】為持續增進員工對郵件安全意識,每年實施兩次演練,2023年兩次社交工程演練測試結果符合「國家資通安全通報應變作業綱要」及「防範惡意電子郵件社交工程施行方案」規定,惡意郵件開啟率與連結點擊率結果均符合合格率目標(8%, 6%),歷年演練已逐漸降減整體點擊惡意郵件情形,顯示資安意識的提升。
【測試機房防災演練】測試機房演練模擬機房火災發生情形,並做出相對應變,例如模擬疏散至避難集合地點、向單位主管及消防自衛編組指揮官回報災情等。此外,每週各機房使用單位代表皆會針對消防、溫度、監視器等面向,進行機房檢核,並填具檢核紀錄至測試機房管理網站,統計安檢異常類別及據點。
2023各項演練執行成效
項目 | 頻率 | 對象 | 執行完成內容 | |
社交工程演練 | 每年2次 | 集團台灣子公司 | 2023.05 上半年演練 |
|
2023.11 下半年演練 |
|
|||
資安演練 | 每年2次 | 資訊系統、網站、電腦 |
|
|
弱點掃描 | 每年2次 | 資訊系統、公開網站 |
|
|
測試機房防災演練 | 每年2次 | 集團各測試機房 |
|
|
資訊系統復原演練 | 每年1次 |
集團共用資訊系統 |
|
註:依「國家資通安全通報應變作業綱要」及「防範惡意電子郵件社交工程施行方案」規定進行演練。
2023年持續推動「集團資安精進計畫」,執行項目包括「SSDLC建置與導入」、「外部資安評級(Security Score Card)分數增加近10分、等級由Level C提升至Level B」及「提高社交工程演練難度,測試方式從每人每次兩封不同測試樣本信件增加成三封」,以提升同仁資安意識程度。另外因應主管機關要求,2023年12月成立資安專責單位「資通安全技術處」,並配置資安專責主管及資安專責人員等編制。
目前已完成規劃2024 年「社交工程演練」、「災難復原演練」、「滲透測試」、「弱點掃描」等相關資安檢測執行時程。
為強化同仁資訊安全意識,2023年持續實施資訊安全相關教育訓練。
2023全集團同仁
宣導及測驗
資訊安全
個人資料保護
2023全集團同仁
資安通識線上課程3小時
2023專案同仁
專業資安線上課程9小時
2023資安種子
專業實體課程共38堂