重要內規及各項管理
(一) 資通安全管理目的、目標與組織
公司資通安全管理主要訴求:
● 營運所面對資通安全風險得到適當管理。
● 鼓勵公司管理及運營團隊了解風險暴露的影響。
● 實現更好的業務彈性和合規性。
● 提供嚴格的決策和規劃流程。
資通安全管理是一個持續性的過程,透過組織管理架構進行資通安全對營運風險分析及影響評估,投入適當防護機制、監控措施及應變作為,從而使公司營運做到以最小化損失和最大化收益。
1. 政策目標
集團為全生態網路企業,遵循政府法令法規及主管機關要求,提供客戶安心便捷的使用環境、確認個人及交易資料之機密性、完整性及可用性,確保客戶資料之處理利用能全程獲得安全保障。
(1) 維持核心服務系統持續營運、不中斷
定期或不定期審視評估核心服務,同時設有營運持續機制、快速反應;同時建立「網路DDoS防護」機制,主動分析DDoS攻擊封包,將攻擊流量透過阻擋與清洗方式,緩解其攻擊量能,避免服務因DDoS攻擊造成伺服器容量超載或網路擁塞,確保營運持續提供服務。
(2) 防止駭客、病毒...等入侵及破壞
確保所有資訊安全意外事故或可疑之安全弱點,能給予適當調查及處理;使軟體開發至應用服務營運過程中兼顧效率、品質與安全。
(3) 預防人為不當或不法使用、造成機敏資料外洩
確保資訊在傳遞過程中,不會因無意間的行為洩露給未經授權的第三者,設有「數位ID及單一帳號暨認證授權控管」內部機制、透過公開金鑰數位加密及多重身分認證技術,除將電子郵件/機密文檔內容加密,更將企業內部跨站服務帳號整合,投以電子簽章與資料加密功能;避免人為疏失意外、防止未經授權之不當存取、確保資訊資產受適當的保護。
(4) 建置集團資安基礎建設、保護營運環境安全
各營運事業於資安機制除必要網路/主機防禦架構(例:VPN、防火牆、入侵偵測、防毒軟體...等)外,另導入全方位資訊安全機制「全域端點威脅分析自動告警」,監測網路通訊安全。
2. 資通安全組織架構
遊戲橘子「集團資訊安全委員會」為資通安全最高指導組織,基於公司營運目標、策略,遵照政府相關法令、法規要求,制定相對應資安政策,進行資安佈防、弱點漏洞補強、異常訊息掌握、緊急事件應變...等,落實各項資安管理制度工作,透過風險管理循環檢討現有安全管理執行情形,確保服務及營運持續;由集團執行長擔任最高督導,同時督檢組織成員能落實各項資訊安全管理作為,以表示對於資訊安全管理制度之充分支持。委員會組織構架如下,成員由各部門指派專員組成,包括且不限於首長、處級主管級別成員參與,集團總部設置資訊服務處處級管理單位綜理資通安全相關事宜,並委請專業資安技術團隊協助提供所需各項資安服務。
年度召開兩次集團資安委員會議,由集團執行長主持,資訊安全組織體系運作流程機制秉承PDCA(Plan-規劃評估、Do-設計建置、Check-覆核稽查、Act-檢討改善)管理循環思維,以說寫做一致作為執行要點,推動集團資訊安全政策、落地實做各資安作業管理細則,檢討現有資通安全管理執行情況、進行營運資訊安全評量、鑑別風險及提供相關資安防護措施因應方案,年度至少1次針對資安政策、制度檢討,進行持續改善與追蹤;以期確保政策、目標能反映政府法令、資訊技術及企業營運業務...等最新發展狀況、確保資訊安全實務作業能有效傳遞員工。
3. 規範程序
於集團資訊安全政策下,設有相應的規範、程序、作業細則或流程,包括但不限於以下,確保資安管理能系統化運行。
● 組織及權責分工
● 人員安全暨教育訓練
● 實體安全管理
● 網路及通訊安全管理
● 資料備份暨媒體管理
● 資訊安全作業管理
● 電子資料交換
● 資料存取及維護
● 資通系統獲取、開發及維護管理
● 資訊作業營運持續管理
● 資訊作業委外管理
● 個人電腦管理
● 系統營運環境安全管理
● 系統發展及維護管理
● 資訊安全事件處理
● 雲端作業管理
(二) 資通安全風險與因應措施
對於資通安全的風險因應,投入管理資源或具體實作如下:
1. 內外部議題與關注方要求
透過集團資訊安全委員會,定期或不定期檢視資通安全管理制度之內外部議題及關注方期望要求,包含組織架構、組織文化、重大變更、主管機關、法令法規、標準異動、資訊安全趨勢...等。2. 資訊資產風險評鑑
每年定期或發生重大變更時,透過「資訊安全風險評鑑模型」以資訊資產在事故發生時,破壞機密性、完整性及可用性所造成的後果,計算各個威脅與脆弱性組合之風險值,用以識別風險;並依據風險等級,實施相應的「風險處理或改善計畫」及殘餘風險再評鑑,以達有效管理或處理風險,低、中風險項目視現況選擇保持或迴避,對於高風險項目則投入適當資源予以降低或移轉。3. 系統發展
依據不同的資訊作業服務性質及風險進行營運業務資安分級、設定必要防護作為,並定期進行各項資安管理評量;對於資通服務系統進行安全檢測、辦理網站或主機弱點掃描、滲透測試,要求系統上線前或重大變更時執行源碼掃描安全檢測,並完成系統弱點修補,降低人為或自然因素之影響對企業營運所造成的衝擊;同時也藉此了解、評估企業網路環境及系統安全狀況,驗證目前資安防護設定的安全等級與成效。4. 安全防護
(1) 佈建全域端點威脅分析自動告警機制(EDR)不間斷關注新式資訊安全技術、攻防趨勢脈動資訊,因應時空轉變的資訊服務業態、與時俱進更新防禦或管理機制,有效削減、阻擋新型態的資安威脅、減輕營運風險。
(2) 建立資通安全威脅偵測管理中心(SOC)
建立資安異常事件應變及復原作業流程,導入使用防禦與偵防機制,透過智慧化資安監控,於駭客攻擊前期及時發掘隱藏惡意行為並獵殺可能之威脅,以期能迅速對資訊安全事件隔離、排除威脅,降低影響範圍及程度,落實嚴密的資通安全防護管理。
(3) 設置特權帳號管理機制
納管個人電腦及維運環境重要設備特權帳號,主動防護、隔離、控管和持續監控虛擬和實體伺服器、資料庫、網路資安設備、應用程式...等之特權帳號,降低遭受外部攻擊和內部惡意威脅風險。
5. 隱私權與個資保護
會員資料經嚴格加密程序與保護措施,訂定相關規範管控會員資料運用及分析之需求,經授權之人員方能接觸相關資料,並設有系統資料之存取紀錄、定期備份保存;另外,任何個人資料的網路傳遞皆經過加密保護、確保資料在傳輸過程中不被第三方非法擷取。對於個人資料隱私保護,企業應依據集團「個人資料保護政策」及相關之個資安全維護管理計畫,將保護管理的知識與資訊重點項目,納入年度資訊訪查重點、執行檢核。
6. 營運持續
對於核心服務系統設有災難復原計畫,並定期執行災復演練,以確保還原IT基礎架構存取權和功能的有效性;同時確認企業在關鍵時刻發揮災難應變之能力,以及災害復原機制快速恢復至企業正常或可接受的營運水準,以達到核心服務系統持續運作、企業營運不中斷。7. 教育訓練
(1) 實體及線上資訊安全課程由資安風險驅動教育訓練,讓主動防禦位於攻擊之前,透過內部適當的資訊安全講習,提升資通管理人員及一般同仁資安認知及意識、了解資訊安全重要性及各種可能的安全風險、提高員工資訊安全意識、進而改變行為。
(2) 社交工程演練
透過模擬駭客攻擊手法、打造仿真度極高的攻擊模擬郵件,寄送誘騙信件給員工,藉以了解員工資安意識的真實狀況與面對社交工程、網路釣魚...等行為的基礎防衛能力;對於誘騙成功的員工施以針對性的教育,喚起員工面對此類威脅的本能反應,引以調整資安應對行為、建立資安防護停、看、聽的反應力。
(3) 資訊安全電子報
不定期派送資訊安全電子報輔以資安意識宣導,藉此提升及鞏固企業員工對於資安意識警覺性、培養出安全檢查的習慣。
8. 供應商管理
依據集團採購管理政策...等相關規定,需以適當方式遴選及監督供應商,確保上下游供應鏈安全,具足夠的技術能力和組織措施用以善盡個資隱私保護,並於服務約定要求不會任意提供、出售、交換或出租隱私與機敏資料給其他團體、個人、私人機構或其他用途。所有供應商評估遴選之過程及比重皆記錄備查,對於資格不符者,將自合格廠商名單中汰除、不再進行交易。9. 持續改善
每年透過公正第三方定期執行內外部稽核,全面檢視資通安全管理系統,滾動式對資訊系統運營及網路服務進行現行管理機制與防護作為檢討,確認其正常運作並持續改善。不僅於遊戲橘子本身,同時也對集團各分子公司之各項資安管理措施每季進行內部資訊安全自我評量作業,並由集團總部擬定資安管理檢核計畫,每年進行1次實地訪查,確保集團資安政策目標、管理機制之落實,也能藉由訪查現況之執行紀錄,發掘潛在風險,於訪查總結報告時提出改善建議,並於日後作為追蹤矯正執行成效之依據。
(三) 資通安全管理
1. 資安認證
取得資訊服務管理系統國際標準ISO/IEC 27001:2013認證,效期存續自2023/11/02至2025/10/31止。
同時陸續推動集團各分子公司取得國際安全認證 ( 查看相關檔案資訊)。
2. 資安應變
根據資訊安全事件處理程序,確保企業資訊安全事件通報、分類、分級、處理及追蹤之作業制度化;當資訊安全事件發生時,迅速通報及應變處理,並在最短時間內回復,確保各項業務之正常運作;同時遊戲橘子導入資安監控(SOC)及端點防護(EDR)機制,偕請國內第三方資安技術顧問團隊與資安緊急應變小組人員迅速掌握資安告警及情資,強化並加速偵防與回應。
3. 重大資安事故
落實資訊安全管理截至2023年底止,並未發生重大的網路攻擊或事件,亦無因資安遭受相關主管機關裁罰。此外,遊戲橘子利用個人資料皆限於特定目的範圍內,年度內無接獲監管機關投訴裁定之案件,亦未有涉入任何與此有關的法律案件或調查。