華新麗華資安專責團隊致力於強化企業整體資訊安全防護能力,提昇企業資安評級,滿足客戶對資安的要求,實踐對客戶、股東與所有利害關係人的資訊安全目標的承諾。我們從 IT 治理、人員 / 裝置保護、網路 / 系統管控與邊境防護之四個面向逐年強化資安。舉其大者,我們強化了高權限帳號的管理、主機安全監控與安全檢測、應用程式安全強化、外網服務弱點改善、網路安全區隔、持續資安補丁上版、資料加密與備份以及提昇同仁資安意識。
建置資訊安全風險管理架構
華新公司以專責資安組織、高階主管參與、接軌國際資安標準為資訊安全風險管理架構,明訂相關的資訊安全策與規範,落實資訊安全管理。
- 專責資安組織
因應企業轉型暨提升資訊安全管理,華新麗華已在 2017 年成立專責資訊安全組織 -「大數據與資訊安全處」,負責製修資安政策,規劃、協調與執行資訊安全防護措施,執行資訊安全風險評鑑與管理,擬定完整的資訊安全計畫,並逐年推動資訊安全管理與解決方案。 - 高階主管參與
資訊技術督導委員會 (IT Steering Committee),為總公司與事業單位資訊安全管理與決策組織,負責審查與決議資訊安全管理相關事項。 - 資訊安全管理制度 (ISMS)
華新麗華於 2022 年導入 ISO 27001 資訊安全管理系統 (ISMS) 並取得第 3 方驗證機構認證,以 PDCA 落實資訊安全的承諾。全面性建構企業組織的資訊安全管理體系的機密性、完整性及可用性,並依「事前預防」、「事中監控」、「事後應變」等不同面向的管理規劃,協助企業持續強化資訊安全管理。
資訊安全政策與目標
華新公司資訊安全目標為維護本公司客戶資料與營業資訊等機敏性資料之機密性、完整性與可用性,藉由全體同仁、內外部資訊服務使用者與第三方委外服務提供者,共同努力來達成下列政策目標:
- 依循各項法令法規要求,保護本公司之資料機密,避免未經授權的存取、擅改、破壞或不當揭露。(依循內外部規範)
- 保護本公司營業活動資訊,避免未經授權的存取或揭露,並確保各項營業資訊之正確性。(保護營業機密)
- 建立完整之營運持續計畫及資訊安全事件管理程序,以確保事件妥善回應、控制與處理,並定期演練,以確保資訊系統或資訊服務持續運作。
- 依據個人資料保護法與智慧財產法之國內外相關規定,審慎處理及保護個人資訊與智慧財產權。(智慧財產)
- 定期執行資訊安全遵循性審查作業,檢視資訊安全管理制度之落實。 (PDCA)
- 全體員工隨時保持高度資訊安全意識,各級主管應負起資訊安全監督管理與訓練之最終責任,並透過管理審查、風險評鑑、內部稽核、教育訓練與資訊安全演練等各項活動,達成 降低資訊使用風險之目標。(全員參與)
- 本公司所有同仁均須遵循資訊安全政策、管理辦法及標準程序,違反資訊安全政策與相關規範,依相關法規或本公司規定辦理。(全員參與)
建構企業資安韌性,落實資安制度管理
- 擬定資安計畫以逐年推動資訊安全政策,導入資訊安全制度與流程規範,並持續架構完整資訊安全技術防護措施。
- 具體管理方案以「內外區隔」、「強身健體」、「見微知著」、「智慧安防」、「行為分析」5 個進程,「IT 治理」、「資料與設備防護」、「網路與系統管控」、「邊界防禦」4 個構面,逐步達成。
- 具體管理方案:
- 資訊資產機密等級
依資訊資產機密等級,執行適當之存取授權與保護,以降低曝險。 - 資安技術措施
持續導入先進資訊安全解決方案,以有效保護與管理系統、主機與網路行為。 - 資安教育訓練
定期舉辦教育訓練,宣導資訊安全新知,提高員工資訊安全意識。 - 災難備援演練
定期針對重要系統進行災難備援演練,在災害發生時,能迅速恢復營運,確保公司營運持續能力。 - 資安風險評鑑
評估與改善端點、伺服器與網路設備的保護能力,並引進第三方專業服務。 - 事件回應與鑑識
建構快速回應資安事件的能力,即早偵測發現問題、快速回應、圍堵攻擊,並在最短的時間內恢復受損的資料和重要系統的服務。
完善華新資安架構,整體提升事前、中、後能力
面對國內駭客攻擊事件頻傳,知名企業都遭受到攻擊,造成財務及信譽的重大損失,針對攻擊手機與步驟,以「Cyber Kill Chain」的模式所對應的防護措施,建立防守方的防禦能力。
資訊安全的風險評鑑與管理
為有效管理企業內部識別面臨之資訊安全風險,並得以即時有效的控管,資安團隊訂定資訊安全風險管理規範,做為識別風險、風險評鑑與風險處理執行工作之依據。參考國際標準 (ISO 27005, NIST 800-30) 與政府規範 ( 行政院資通系統風險評鑑參考指引 ),建構系統化的風險管理架構。