本集團資通安全管理由子公司『果核數位』統籌規劃,偕同相關單位執行各項計畫
管理架構
●本集團資通安全政策計畫、資源調度等協調研議、及資通安全管理事項,於集團設立「資安委員會」定期召開會議,由集團執行長擔任召集人,每半年召開資安委員會議,內容如下:
(1)呈報重大資安事件說明及精進作為。
(2)提案重要資安制度或防護機制導入,以降低營運風險及提升資安量能。
(3)檢討及提議集團重要資安政策增修訂、資安計畫實行、資安組織調整與相關資源調度。
(4)提報各單位資訊安全管理執行與評量。
●總部資訊服務處為資安管理單位,負責綜理集團資安管理工作,另委國內專業資安公司擔任資安技術顧問團隊,協助資安相關規範制(修)訂,重要資安機制評估與建議、異常網路連線監控與告警、資安宣導及專業教育訓練、資安檢測與演練、重大資安事件處理與因應及集團資安管理稽核等工作,確保各單位落實各項資訊安全管理作為。
資通政策及管理
集團各營運事業於資安機制除必要網路/主機防禦架構(如:VPN、防火牆、入侵偵測、防毒軟體..等)外,另導入全方位資訊安全機制,建置集團資安基礎建設,包括:
●與國內知名資安公司合作,於集團內全面佈署
全域端點威脅分析自動告警機制,透過其持續獵捕威脅、根因分析應用、勢態感知技術提供主動應變事件分析及精準有效告警,每周提供端點偵測及應變服務報告,每月與其資安分析人員檢討機制的運作及潛在威脅討論。
●導入
特權帳號管理機制
,將個人電腦及維運環境重要設備特權帳號回收並納管,可主動防護、隔離、控管和持續監控虛擬和實體伺服器、資料庫、網路資安設備、應用程式等上面的特權帳號,使營運系統及所保護機密系統資料,降低遭受外部攻擊和內部惡意威脅風險。
●成立集團
資通安全威脅偵測管理中心(SOC)
,彙整各種資安訊息,提供事前威脅的預警情報、事中威脅的即時告警以及事後威脅的分析建議,有效管理各種資安警訊,使營運團隊專注於處理重要的資安風險,透過資安監控,可以即時瞭解內外部資安威脅,在第一時間內對資安事件做應變處理,將損害降至最低,達到共同聯防資安威脅目的。
●建立
加密數位ID及安全認證單一帳號授權機制
,透過公開金鑰PKI數位加密及多重身分認證技術,除將電子郵件/機密文檔內容加密,更將企業內部跨站服務帳號整合,以電子簽章與資料加密功能,將內部流程在多平台上完成自動化及行動化,確保企業內部資料與服務可用性、機密性、完整性,在安全的前提下,有效提升運營效率。
●集團為全生態網路企業,針對現行多樣態分散式阻斷服務攻擊(DDoS),各營運服務依其服務內容與所面對威脅,
導入適當網路DDoS防護機制
,已主動分析DDoS攻擊封包,將攻擊流量透過阻擋與清洗方式,緩解其攻擊量能,避免服務因DDoS攻擊造成伺服器容量超載或網路擁塞,確保營運持續提供服務。
●將
源碼安全檢測(白箱檢測)與網路服務弱點檢測(黑箱檢測)
整合至營運系統開發與部署自動化(DevOps)流程中,使軟體開發至應用服務營運過程中兼顧效率、品質與安全。
管理資源投入
●資安管理與技術支援:
(1)總部資訊服務處,負責制定集團資安管理政策與相關規範,以資安高標準建置OA資訊環境與服務、部署全集團監控機制,建立管理程序嚴謹身分認證、存取授權、資料備援、資安稽核,統籌管理集團各項資安規劃與執行。
(2)集團各營運團隊規定指派資安官,執行集團要求部署營運環境資安機制及相關管理工作。
(3)資訊安全技術支援團隊服務項目除協助部署各項安全機制,另提供7*24自動化威脅監控與事件分析、告警處理。
●年度預算編列:
依據各營運團之資安管理計畫與成果,於年度檢討後編列預算,作為部署資安防護監控機制及資安檢測等使用。
資安認證
●本集團持續推動取得國際資安認證。
●相關認證資訊:查閱檔案(全集團)