本公司於2009年訂定資通安全檢查之控制作業程序,為提升整體網路安全,建立適當管理架構,有效分配資訊安全責任,落實資訊安全政策之推行、協調各項資訊安全措施之實施,確保資訊安全制度之防護水準。並於2022年8月5日成立資通安全推動組織(資安小組),由營運副總周秋美擔任資安長一職,負責推動、協調監督及審查資通安全管理事項,並定期宣導資訊安全注意事項及管制措施之公告。
| 資通安全政策 | ||
|---|---|---|
| 資安治理 | 精進管理制度 掌控風險及強化防範 打造聯防體系 |
持續精進管理制度,包括強化教育訓練、資訊安全基礎架構設計,並深化保護技術。 |
| 法令遵循 | 定期檢視/修訂 建立合規循環機 |
建立合規循環機制,定期檢視及修訂內部作業規範以符合國際資安標準及各海外地區法令。 |
| 科技運用 | 內外部資料收集 預測威脅及決策 |
定期對各單位抽查進行安全監控,並預測資訊安全風險並及早做出對策。 |
| 方案 | 內容 | |
|---|---|---|
| 網際網路 合法使用 |
● 在經許可的範圍內對網路所提供的資源有存取的權利。 ● 不允許將自己的登入身份與網路密碼供他人使用,且禁止以任何方式竊取或取得其他合法使用者的身份、帳號與密碼予以登入使用。 ● 禁止存取網路上未經許可的檔案或企圖獲得存取的權限,以及於上班時間瀏覽色情,或持有色情或猥褻檔案,並禁止在網路上散播色情文字、圖片、影像、聲音等。 ● 禁止以任何手段蓄意干擾或損害網路系統的正常運作,或使用任何儀器設備或軟體工具竊聽網路上的通訊。 ● 不得任意移除個人電腦上之掃毒軟體,如使用者偵測到病毒入侵,應馬上通知網路管理者。 ● 對於來路不明的電子郵件應具備電子郵件過濾機制,如仍收到亦需具備高敏度並直接刪除,以免隨意打開郵件啟動惡意執行檔,而使網路系統遭破壞。 |
|
| 網路系統 管理 |
● 網路系統管理者應負責網路安全政策的制定與執行及網管工具設定與操作,以確保各系統主機與資料的安全與完整。(網路系統管理者需填寫內部表單呈請權責主管同意於工作職掌中載明) ● 網路系統需要區隔獨立的邏輯網域,並將開發、測試及正式作業環境區隔,並針對不同作業環境建立適當之資安防護控制措施。 |
|
| 防火牆 | ● 公司網路與外界網路連接的網點應加裝防火牆,藉以控管資料傳輸與資源的存取,在防火牆設置完成時,應測試防火牆的正常性。如有缺失,應立即修正,直到達成規畫之目標。 ● 防火牆系統軟體,應定期做版本升級,以因應新而未知的網路攻擊 ● 如有對外服務之核心資通系統者,巨備應用程式防火牆。 |
|
| 資通系統 發展及維護安全 |
● 應在網路上各檔案伺服器安裝防毒軟體,防止病毒在網路上擴散。防火牆對病毒或「特洛依木馬型程式」不能做有效防禦,因此應定期使用電腦病毒掃瞄工具執行病毒掃瞄,並瞭解病毒與惡意執行檔案可能入侵的管道,病加以偵測及建立防禦機制。 ● 資通系統安全包含資通系統開發及維護需求規格,以及留意安全漏洞通告,即時修補高風險漏洞,定期評估辦理設備、系統元件及資料庫系統。 ● 對核心資通系統辦理下列資通安全檢測,並完成系統弱點修補: (一)定期辦理弱點掃瞄。 (二)定期辦理滲透測試。 (三)系統上線前執行源碼掃描安全檢測。 |
|
| 教育訓練 與宣導 |
● 負責資訊安全之主管及人員應每年接受資訊安全專業課程訓練 ● 對全體員工定期提供資訊安全宣導相關資訊。 |
|
| 資通安全專責單位(資安小組) | ||
|---|---|---|
| 職稱 | 人數 | 說明 |
| 資安長 | 1名 | ● 資安小組每季定期召開會議,並最少每年一次向董事會及管理階級報告「資通安全執行情形及風險評估」。 ● 現已加入「中華民國資訊軟體協會」及「台灣電腦網路危機處理暨協調中心」,定期檢視及修定內部作業規範以符合國際資安標準及海外地區法令。 ● 依據資安管理計畫與成果,於年度檢討後編列預算,作為佈署資安防護監控機制,資安檢測及投保資安險等使用。 |
| 資安主管 | 1名 | |
| 資安人員 | 2名 | |
2017年8月收到各處玩家反應無法登入遊戲,資訊及研發人員檢測公司內部網路連線穩定,進一步查獲外部可疑攻擊行為,遭駭客勒索挾持,要求使用交付贖金,本公司立即啟動相關應變措施,經相關人員24小時待守攻防,駭客見無破口可侵,隔日隨即打退堂鼓。此事件係阻斷式攻擊行為,使玩家遊戲受影響,唯內部已強化測試資安控管、監控與管理機制及調整基礎環境架構等三大面向執行等精進措施。
執行情形及報告
| 資通安全政策 | ||
|---|---|---|
| 執行情形 |
|
|
| 2024 年度報告 |
2024/12/20於審計委員會及董事會報告 | |