依据欧盟施行的个人资料保护法,我们致力于保护您的个人资料并提供您对个人资料的掌握。
按一下「全部接受」,代表您允许我们置放 Cookie 来提升您在本网站上的使用体验、协助我们分析网站效能和使用状况,以及让我们投放相关联的行销内容。您可以在下方管理 Cookie 设定。 按一下「确认」即代表您同意採用目前的设定。
资讯安全政策与目的
在面对数位化转型、全球化竞争与永续发展的挑战同时,溢泰深信资讯安全是企业永续经营与维繫利害关系人信任的核心要素。溢泰致力于以严谨的资讯安全管理制度,确保系统、资料、设备与网路之稳定性、安全性与可用性,以保障客户、股东、员工及合作伙伴的重要资讯资产,并共同推动值得信赖的数位环境。同时,我们承诺遵循相关法规,持续强化防护能力,实践公司治理与社会责任,为利害关系人创造长期价值。
为强化本公司之资讯安全管理、确保资料、系统及网路安全,设立资安管理室,为资安专责单位,包含资安主管及至少两名以上的资安人员,负责资通安全事务的规划与执行。
为强化资讯安全治理,确保资料、系统与网路之安全,溢泰资安管理室作为专责单位,负责资讯与通信安全相关事务的规划、执行与持续改善。
资安管理室推动资安策略与行动计画,确保资讯安全管理制度有效落实,并藉由跨部门协作,提升全体员工的资安意识与责任,共同打造 安全、可信赖、永续的营运环境。以确保资讯资产受到完善保护,并提升整体营运之安全韧性。
资安管理室:
资讯安全风险管理机制
为有效降低资讯安全风险,确保公司营运之稳定与资讯资产之安全,溢泰建立资讯安全风险管理机制,主要涵盖以下措施:
1. 资讯机房安全管理
· 建立严格的实体出入管制,仅授权人员得以进入。
· 配置监控、消防、温湿度控制及不断电系统,确保机房环境稳定与设备安全。
2. 电脑及资讯档案安全管理
· 建立权限分级控管机制,确保仅限合格人员存取。
· 定期进行资料备份与还原测试,确保正确性、完整性及可回復性。
· 导入稽核机制,追踪并检视使用行为,防止异常存取。
3. 网路安全管理
· 部署防火墙、EDR及弱点扫描工具,防范恶意攻击。
· 建立异常流量监控与通报机制,即时侦测潜在威。
4. 邮件安全管理
· 建立邮件过滤机制,拦阻垃圾邮件与恶意附件。
· 部署防毒系统与反诈骗技术,降低社交工程攻击风险。
· 定期宣导电子邮件使用规范,提升员工防范意识。
5. 资讯系统存取控制
· 落实「最小权限原则」,依职务需求核配帐号与权限。
· 建立帐号管理流程,涵盖建立、异动与停用,确保存取安全。
透过上述措施,持续进行风险评估与改善,强化资安防护能力,并确保资讯系统在机密性、完整性与可用性三大核心原则下稳健运作。
资讯安全的原则及标准
1. 教育训练与宣导
· 定期办理资讯安全教育训练与宣导,内容涵盖资讯安全政策、法令规范、作业程序及资讯科技正确使用方式。
· 强化员工对资讯安全风险的认识,提升遵循政策与规范的自觉。
2. 电脑病毒与入侵防护
· 採取电脑病毒侦测、防范与修补措施,降低恶意程式威胁。
· 建立主动式入侵侦测/防御系统,及时拦阻恶意攻击,确保电脑及资料安全。
3. 资讯系统永续运作
· 制定资讯系统灾难復原计画。
· 确保在天灾、人为事故或其他重大事件下,仍能维护关键资讯资产与通讯系统正常运作。
员工应遵守之相关规定
1. 帐号与身份管理
· 使用者帐号须经申请程序由资讯单位依建立,严禁共用。
2. 资料与设备保护
· 电脑资料及设备不得任意破坏、携出、外借或未经授权修改,以确保完整性。
· 所有资讯设备应妥善保护,避免因潮湿、日晒或液体影响而缩短使用寿命。
3. 合法软体使用
· 严禁使用未经授权或无版权之软体,以避免法律责任及资安风险。
4. 主机与系统操作规范
· 完成作业或长时间未使用时,应立即登出系统,以防资料外洩或遭人破坏。
5. 人员异动与交接
· 员工离职或职务异动时,资讯单位应妥善处理帐号停用及资料移转,避免遗留风险。
6. 设备异常通报
· 当资讯设备或系统无法正常作业时,使用者应立即通知资讯单位检查或维修,不得私自处理。
资讯安全具体管理方案
为确保资讯资产安全与营运稳定,本公司建置多层次资讯安全管理措施,涵盖以下具体方案:
· 建立防火墙连线规则,以防范未授权存取。
· 特殊连线需求需经正式申请与核准后方可开放。
· 自动过滤可能含有木马、勒索病毒或恶意程式的网站连结。
· 全面安装防毒软体与EDR,自动更新病毒码。
· 降低恶意程式感染与散播风险。
· 启用作业系统自动更新功能,确保弱点修补即时。
· 对于未能自动更新之设备,由资讯部统一协助完成更新。
· 建立邮件自动扫描与威胁防护机制,于邮件送达使用者前拦截不安全附件档案、钓鱼邮件、垃圾邮件与恶意连结。
· 收件端之防毒软体与EDR亦会再次进行检测,确保多层次防护。
· 重要资讯系统资料库皆设定每日自动备份。
· 定期验证备份档案之完整性与可回復性。
· 各部门重要档案须上传至公司文管系统或档案伺服器,由资讯部进行统一备份与保存。
· 确保档案版本可追踪,避免遗失或误删。
7. SOC(安全监控中心)
· 建立 Security Operation Center,即时监控网路流量、自动侦测异常行为与潜在攻击与安全事件。
· 提供7x24小时的资安事件通报与应变机制,缩短资安事件处理时间。
8. SIP(Security Intelligent Portal,资安智慧平台)
· 建置SIP,作为资安事件集中管理平台,整合防火墙、IDS/IPS、防毒及邮件防护等系统之日志与告警。协助资讯人员快速掌握全公司资安状况。
· 透过数据分析与智慧化模型,主动预测潜在威胁并提出因应建议。
· 强化跨部门协作效率,缩短事件处理与决策时间。
资通安全的资源投入
本公司重视资通安全治理,持续投入人力、技术与预算资源,建立完整的资讯安全管理架构,以确保营运稳定与资讯资产安全。
· 设置资安管理室作为专责单位,配置:
资安主管1名:负责规划、执行与监督资安计画。
资安人员2名以上:负责日常资安作业执行及风险监控。
· 系统升级与维护:针对主机作业系统与关键应用软体,进行定期升级与弱点修补。
· 灾害復原演练:规划并执行定期演练,确保灾难復原 (DRP) 有效性。
· 定期检讨机制:资安管理室每月召开会议,检讨资安计画与执行进度,确保措施落实。
· 社交工程演练:不定期进行钓鱼邮件、假冒攻击等模拟测试,以检视员工资安警觉性。
· 教育训练:持续强化全员资安意识,确保资讯安全责任落实至各单位。
· 根据检测结果与资安需求,编列年度资安专属预算,涵盖软硬体设备更新、资安服务导入与人员训练。
· 建立年度资源配置计画,确保资安投资符合公司治理与永续发展目标。
紧急通报程序
当发生资讯安全事件时,本公司依既定流程进行通报与处置,以确保事件能即时被侦测、正确分级并有效处理,降低对营运的影响。
· 发生单位:立即将事件回报至资安管理室。
· 通报方式:可透过电话、电子邮件或专用通报系统进行。
· 通报内容:至少包含事件时间、地点、影响范围、相关人员与初步情况说明。
· 资安管理室接收通报后,立即判断事件类型(如:病毒入侵、骇客攻击、资料外洩、系统异常、设备失窃等)。
· 依事件严重性进行分级(一般、重大、紧急),决定应变层级与处置方式。
· 启动紧急应变程序,採取必要行动(如:隔离受影响系统、封锁帐号、暂停服务)。
· 同步通知相关受影响部门。
· 如属重大事件,立即通报高阶管理层,并视情况通报董事会。
· 全程留下事件纪录,包括发生时间、处理过程、决策内容与最终结果。
· 资安管理室于事件结束后进行检讨,提出改善措施,并纳入后续资安改进计画。
依据欧盟施行的个人资料保护法,我们致力于保护您的个人资料并提供您对个人资料的掌握。
按一下「全部接受」,代表您允许我们置放 Cookie 来提升您在本网站上的使用体验、协助我们分析网站效能和使用状况,以及让我们投放相关联的行销内容。您可以在下方管理 Cookie 设定。 按一下「确认」即代表您同意採用目前的设定。
隐私权偏好设定中心
依据欧盟施行的个人资料保护法,我们致力于保护您的个人资料并提供您对个人资料的掌握。
按一下「全部接受」,代表您允许我们置放 Cookie 来提升您在本网站上的使用体验、协助我们分析网站效能和使用状况,以及让我们投放相关联的行销内容。您可以在下方管理 Cookie 设定。 按一下「确认」即代表您同意採用目前的设定。
管理同意设定
必要的Cookie
网站运行离不开这些 Cookie 且您不能在系统中将其关闭。通常仅根据您所做出的操作(即服务请求)来设置这些 Cookie,如设置隐私偏好、登录或填充表格。您可以将您的浏览器设置为阻止或向您提示这些 Cookie,但可能会导致某些网站功能无法工作。
行销的Cookie
行销 Cookie 能用来追踪访客造访网站的歷程。目的是用来显示与个别使用者相关或吸引他们的广告,因此对发佈者或第三方广告商而言比较重要。
定向 Cookie
这些 Cookie 由广告合作伙伴通过我们的网站进行设置。这些公司可能利用 Cookie 构建您的兴趣分佈图并向您展示其他网站上的相关广告。它们只需识别您的浏览器和设备便可发挥作用。如果您不允许使用这些 Cookie,您将不能体验不同网站上的定向广告。
社交媒体 Cookie
这些 Cookie 由我们已添加到网站上的一系列社交媒体服务设置,使您能够与朋友和网络共享我们的内容。它们能够通过其他网站跟踪您的浏览器并构建您的兴趣分佈图。这可能会影响您在访问其他网站时所查看的内容和消息。如果您不允许使用这些 Cookie,您可能无法使用或查看这些共享工具。