資通安全風險管理架構
本公司組織架構於總經理室設置資訊室,統籌資訊安全及保護相關政策制定、執行與風險管理。資訊室直屬總經理,資訊主管定期向董事長暨總經理彙報資安管理成效、資安相關議題及方向。
資訊安全政策:
l 資安治理:制定完整管理制度,強化教育訓練、資訊安全基礎架構設計及保護技術。確保資訊系統可用性、密碼安全性、存取權限分級控管以抵抗外部威脅建構資訊安全環境。
l 法令遵循:建立符合規範機制,定期檢視及修訂相關作業規範以符合資安標準。
資安管理方案:
1.本公司由資訊室負責制定資訊安全政策與管理審查資安作業,執行資安工作,並定期由總經理主持,資訊主管定期報告公司資安防護相關議題,因應資訊安全所面臨的挑戰,以機密性、完整性及可用性作為資安防護的三大要素,規劃以多層次縱深防禦機制、零信任安全架構以及HEIS人因分析系統作為防護策略。
2.鑒於資安險為新興保險種類,考量保險範圍、理賠範圍、理賠鑑識、鑑識機構資格等議題綜效,本公司經評估後暫不投保資安險,但因應資訊安全所面臨的挑戰,如APT進階持續性攻擊、DDoS攻擊、勒索軟體、社交工程攻擊、竊取資訊等資安議題,已採取相關作法:執行安全性檢測、資通安全健診、社交安全及資安事件演練,強化公司同仁資安危機意識及資安處理人員應變能力,以期能事先防範及第一時間有效偵測並阻絕擴散。另對全體同仁施行資訊安全教育訓練,並逐步培養具有資安證照之同仁。並以通訊軟體、使用者行為控管及供應鏈安全為資安防護重點。
3.利用專案會議強化公司同仁資安危機意識及資安處理人員應變能力,落實執行,不定期參與各項資安研討會了解最新資安問題、趨勢及相關強化措施,並透過教育訓練優化同仁相關資安資訊及提升風險意識水準。定期進行資安風險管理,每半年檢討相關資安政策,另不定期至生產廠區進行所有電腦內部防護機制檢查,以建構出全方位的資安保護能力及同仁正確的資訊安全意識。公司稽核定期針對資訊各項事務依法進行相關稽核工作,以確保資安制度完備、相關政策已落實執行,該相關稽核結果亦依法定期向董事會報告。
4.沈氏藝術印刷力遵循政府的相關資安政策及公司相應之內規,克盡資安管理工作,期使在IT面之營運風險降至最低。資訊系統架構依風險等級建立伺服器備援及資料備份機制,以確保各項服務不中斷,定期機房模擬測試備份資料緊急還原方案,確保資訊系統在緊急情況下仍可正常運作及資料保全,增設UPS不斷電系統減少系統瞬間中斷風險,確保資料正確無虞。另外根據機器使用年限,規劃設計與提升適當軟硬體設備資源等相關制度。
投入資通安全管理之資源:
1.本公司投入資安人員總數為3人,相關資安會議2021年召開40次以上(每週總經理室例會專案報告)。
2.本公司2021年導入IP GUARD端點安全軟體,用於加強企業資訊安全端點控制,可有效保護各種極具價值的企業檔案,避免重要智慧資產外洩而產生營運風險,並確實管控網路流量,搭配有效的即時警報通知機制,能適時阻擋異常的操作行為,以強化資安防護能力。
3.本公司每年進行整體資訊系統資安健檢,並定期向員工宣導資訊安全知識,以提升員工資安防護意識,另資訊安全專責單位人員每年至少接受16小時以上專業資訊安全訓練。