GO TOP
首頁> 關於> 資訊安全

資訊安全

  • 資訊安全政策
  • 資訊安全措施

最後更新日期:2020/10/12

為達成維護資訊安全之目的,本公司訂定相關資訊安全控制措施如下:

  • 建立跨部門之資訊安全管理組織,所有資訊安全責任應受定義及分配,職務與責任應進行區隔,並制訂 、推動、實施及評估改進資訊安全管理制度,確保對資訊資產之控管與業務持續運作之資訊環境。並與各相關單位(如:主管機關、客戶、員工、供應商、資安專家……等關注方)保持適當之溝通管道。
  • 辦理資訊安全及個人資料保護管理教育訓練及宣導,強化員工及委外廠商資訊安全管理之意識與對相關責任之認知。
  • 建立資訊資產清冊,明確指定保管者,並識別資訊資產價值、威脅及弱點,定義適當的保護責任。於合約、協定終止時,確保所有資產使用者均已歸還或依要求處置資產。
  • 執行資訊安全風險評估機制,提升資訊安全管理之有效性與即時性。
  • 限制資訊與其處理設備、系統及應用程式的使用,以防未經授權的存取。
  • 建立密碼控制措施,維持適當且有效的密碼,以保護數位資訊之機密性、鑑別性及完整性。
  • 對開發、測試及營運環境進行區隔,以降低營運系統受未經授權存取或變更之風險;建立對惡意軟體之偵測、預防、復原等控制措施,確保資訊資產不受惡意軟體的破壞。依循備份程序,定期進行各項資訊的備份與測試以免資訊遺失;監控、調配各項資源的使用與系統技術弱點資訊,採取適當改善措施以降低風險。
  • 供應商存取、處理或提供本公司資訊處理基礎設施相關服務,應符合資訊安全要求,並定期檢視、審查供應商交付的服務報告;若有服務變更情事,均依專案管理程序辦理,並考量所涉及之時程、預算重新評估風險,以維護本公司權益。
  • 明訂管理責任與程序以確保對資訊安全事故做出迅速、有效的回應及通報,並識別、收集、取得及保存可用來作為證據的資訊,分析與解決以降低未來事故發生的可能性或影響。
  • 定期驗證並實作資訊服務營運持續程序,以確保其有效性。
  • 實施資訊安全管理內部稽核制度,確保資訊安全管理及個人資料保護管理之落實執行。
  • 依適用的法律、規定、契約及或專業責任;以及個人及其他主要利害關係人的利益。適時改進資訊安全管理。

使用高規格的資訊安全檢測系統

  • 原始碼安全檢測 Source Code Audit
    程式發布前,透過 Checkmarx 軟體,進行原始碼安全檢測,以識別、追蹤和修復所有軟體原始碼技術上和邏輯方面的安全漏洞,允許資安人員在 SDLC 初期就可以快速的進行原始碼檢測,並讓開發人員針對弱點進行修改,讓系統更為安全及符合各種的法規與相關規範,如 PCIDSS 等。
  • 弱點掃瞄 Vulnerability Assessment
    每季執行弱點掃瞄,找出系統潛在風險,透過軟體進行弱點掃瞄,找出系統、主機、網站可能的弱點或漏洞, 以進行風險控制與強化安全,以利先進行防護。
  • 滲透測試 Penetration Testing
    每年模擬攻擊者的思考方式對企業進行各種入侵攻擊測試,以駭客思維嘗試入侵該企業的網站、網路系統、儲存設備等軟硬體,找出各種潛在的漏洞,以驗證企業的設備與資料是否可被破壞或竊取,確認其安全性是否有待加強。
  • 入侵防禦系統 IPS ( Intrusion Prevention System )
    透過硬體「特徵偵測、統計異常行為偵測、狀態協定分析與偵測」方法,監控是否有惡意行為存在於網路和系統的安全軟體,可以辨識、阻止、導出惡意活動。
  • PCI DSS(Payment Card Industry Data Security Standards)
    PCI DSS 是以保護持卡人資料安全為出發點,各項安全要求非常明確亦相當務實。 經由 QSA 每年進行 PCI DSS 實地查核,定期檢視相關安全措施是否合宜,除符合支付卡組織的要求外,亦可提升保護持卡人資料安全的信心與實作。
;