資訊安全風險管理架構
神通資訊科技深知面對日新月異的外部威脅,企業資安強化刻不容緩。集團以其資訊安全管理系統(ISMS)為核心,整合神通電腦、新達電腦及神耀科技的資源,致力於確保關鍵服務的持續運營和資產安全。管理系統由資訊安全管理代表率領四個職能組,負責風險評鑑、安全開發、稽核與管制,確保能正確有效地運用資源。其資安驗證範圍廣泛,涵蓋雲端服務、系統整合及軟體開發等業務,並設有嚴格規範,例如禁止使用或儲存資料於中國大陸地區的雲端服務,以透過持續的審查和稽核來強化整體資安防禦強度 。
資訊安全風險管理組織
- 組織架構: 由資訊安全管理代表領導,下設資訊安全組、應用安全組、內部稽核組和文件管制組 。
- 職責劃分:
- 資訊安全管理代表: 負責資安管理方針與決策制定、主持管理審查會議及規劃教育訓練 。
- 資訊安全組: 負責資訊安全技術規範、風險評鑑作業、營運持續計畫及文件紀錄管理 。
- 應用安全組: 負責安全開發作業與查核 。
- 內部稽核組: 負責資訊安全稽核作業之規劃、執行及缺失追蹤 。
資訊安全要求及風險管理
資訊安全要求
為確保資訊在使用時正常無誤、不會洩漏、不會被竄改或變更、智慧財產權受到保護,須達成以下要求:
-
- 系統資料與隱私權符合法令要求。
- 資料處理過程與結果之正確性。
- 資訊系統作業之正常運作。
風險評鑑及處理
每年至少執行一次風險評鑑作業,其步驟與原則如下:
-
- 定義風險評鑑方法: 識別適合ISMS、企業營運資訊安全、法律與法規要求的方法。發展風險承受準則,降低風險至可接受程度。
- 識別各項風險: 識別資產、擁有者、威脅、脆弱性,以及喪失機密性、完整性與可用性的衝擊。
- 分析與評估各項風險: 鑑別安全措施失效時可能造成的傷害,評鑑失效發生的可能性,並估計風險等級。
- 識別並評估風險處理之選項作法:
- 採用適當的控制措施。
- 在掌握狀況下客觀接受風險。
- 迴避風險。
- 將風險轉移至其他機構(如保險公司或供應商)。
- 其他要求:
- 選擇控制目標及控制措施以處理風險。
- 殘餘風險需取得管理階層的核准。
- 風險管理過程為管理階層責任的一部分。
資訊安全管理系統 (ISMS)
ISMS 適用範圍及驗證範圍
-
- ISMS適用範圍: 神通集團遵循ISO 27001相關標準流程的所有專案或系統之資訊紀錄、實體設備、系統及軟體、服務及人員。
神通集團資訊安全政策
-
- 落實資通安全,符合國際資訊安全標準。
- 做好緊急應變,確保持續運營。
ISMS 監控、審查及改進
監控及審查
-
- 確保機房溫溼度受到控制,設備運作正常。
- 利用攝影機監視人員進出狀況。
- 單位主管注意事件通報或工作狀況,必要時進行人員職務調動。
- 隨時注意公司內發生的資安事件。
- 在管理審查會議中審查ISMS有效性,並審查控制措施的有效性、殘餘風險與可接受風險等級。
- 執行內部稽核。
- 召開管理審查會議,執行ISMS審查。
內部稽核
每年至少執行一次內部稽核,以確保ISMS符合:
-
- ISO 27001與相關法令或法規之要求。
- 公司制定的資訊安全目標及其他相關要求。
- 是否皆被有效的執行以及維持。
- 是否符合上級長官的要求。
管理階層審查
管理階層應至少每年召開一次會議,審查現行之ISMS,以確保相關程序的適用性、適切性及有效性。
持續改進
應經由資訊安全政策、目標、稽核結果、事件監控分析、矯正與預防措施以及管理階層審查之使用,以持續改進資訊安全管理系統之有效性
