資訊安全政策

資訊安全政策

最後更新日期:2022/01/06

為達成維護資訊安全之目的,本公司訂定相關資訊安全控制措施如下:

  • 應指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長,並設置資訊安全專責單位,該單位應配置專責主管及至少二名專責人員,專門負責資訊安全相關工作或職務,並與各相關單位(如:主管機關、客戶、員工、供應商、資安專家……等關注方)保持適當之溝通管道。
  • 所有資訊安全責任應受定義及分配,職務與責任應進行區隔,且為有效推行資訊安全工作,應成立「資訊安全委員會」及「資訊安全工作小組」,統籌資訊安全政策、資源調度等協調及研議事項。
  • 辦理資訊安全及個人資料保護管理教育訓練及宣導,強化員工資訊安全管理之意識與對相關責任之認知。
  • 建立資訊資產清冊,明確指定保管者,並識別資訊資產價值、威脅及弱點,定義適當的保護責任。
  • 執行資訊安全風險評估機制,提升資訊安全管理之有效性與即時性。
  • 限制資訊與其處理設備、系統及應用程式的使用,以防未經授權的存取。
  • 建立密碼及金鑰控制措施,以保護數位資訊之機密性、鑑別性及完整性。
  • 對開發、測試及營運環境進行區隔,以降低營運系統受未經授權存取或變更之風險;監控、調配各項資源的使用與系統技術弱點資訊,採取適當改善措施,並建立對惡意軟體之偵防及復原等措施。
  • 資訊相關專案應明定資訊安全要求,並定期檢視、審查供應商交付的服務報告;若有服務變更或複委託之情事,均依專案管理程序辦理,並考量所涉及之時程、預算重新評估風險,以維護本公司權益。
  • 明訂管理責任與程序以確保對資訊安全事故做出迅速、有效的回應及通報,並識別、收集、取得及保存可用來作為證據的資訊,分析與解決以降低未來事故發生的可能性或影響。
  • 定期驗證並實作各項資訊的備份與測試及資訊服務營運持續程序,以確保其有效性。
  • 實施資訊安全管理內部稽核制度,確保資訊安全管理及個人資料保護管理之落實執行。
  • 依適用的法律、規定、契約及或專業責任,以及個人及其他主要利害關係人的利益,持續改進資訊安全管理系統。

資訊安全規劃

一、資訊安全管理組織

綠界科技於民國110年設立「企業資訊安全專責組織」資訊安全部,下轄資安制度管理組與資安技術組,統籌資訊安全及個人資料保護相關政策的制定、執行,風險識別、驗證、管理以及遵循度查核,由資訊安全部主管每年向資訊安全管理審查委員會彙報資安管理成效、資安相關議題及方向。

綠界科技為執行企業資訊安全組織訂定的資安策略,確保內部遵循資安相關準則、程序與法規,特別成立「綠界科技資訊安全管理審查委員會」,由總經理擔任主席,各部門主管擔任委員會成員,並設置資訊安全部主管為執行秘書、內部稽核最高主管為觀察員,每年召開會議,檢視及決議資訊安全與個人資料保護方針及政策,落實資訊安全管理措施的有效性。

  • 資訊安全管理組織架構

  • 資安及個資管理審查委員會架構

二、資安防護策略

本公司在資訊安全及個人資料管理作業上,導入 ISO 27001 資訊安全管理系統,透過PDCA(Plan-Do-Check- Act,循環式品質管理)作業,辨識內外部資安議題及利害關係人對資安之期望,強化資產管理、風險評艦、人員安全、實體設備安全、權限控管、資料加密、安全開發流程、網路安全、資安事件管理、稽核及遵循性等面向,由 SGS 台灣檢驗科技公司驗證通過,於 2021 年 8 月起取得證書並持續維持有效。

針對機密交易資訊之信用卡卡號之保護,本公司亦每年通過 PCI DSS(Payment Card Industry Data Security Standard,支付卡產業資料安全標準)驗證,強化相關處理及儲存設備、系統及網路之安全控制項目,確保卡號於組織內不會遭任意濫用及外洩。

本公司以資安國際標準制度為骨幹,建立持續改善之管理流程,輔以軟體設計及系統架構之防護措施強化,如:原始碼安全檢測、弱點掃描、滲透測試、入侵防禦系統、內部網路隔離及誘捕系統,以達到維護資訊系統機密性、完整性、可用性以及客戶個人資料保護之目的。

  1. 本公司資安國際標準制度之規劃遵循
    • PCI DSS-本公司遵循 PCI DSS 支付卡產業資料安全標準的12個領域。
    • ISO 27001-本公司透過 PDCA 循環機制,持續改善標準要求之4大控制主題,93項控制措施。
  2. 軟體設計之資安防護
    • 原始碼安全檢測
      透過原始碼安全檢測工具,自動對所有新開發程式碼進行安全分析,並由資安專責人員研究確認漏洞被利用風險及建議修補方式後請權責單位規劃修補作業。
    • 弱點掃瞄
      每季執行弱點掃瞄,找出系統潛在風險,經由軟體進行弱點掃瞄,找出系統、主機、網站可能的弱點或漏洞,以進行風險控制與強化安全,以利先進行防護。
    • 內部滲透測試(白帽駭客)
      系統於新功能上線前會透過資安專責人員對高風險項目進行內部滲透測試,模擬駭客手法對系統進行攻擊,嘗試入侵目標網站、網路系統、儲存設備等軟硬體,找出原始碼檢測和弱點掃描未能檢測出的各種潛在漏洞,以驗證企業的設備與資料是否可被破壞或竊取,確認其安全性是否有待加強。
    • 登入通知及自動登出機制
      由於客戶可能在其他網站使用相同帳號及密碼,因此管理後台於登入時要求輸入身分證後四碼進行驗證,且同時間僅開放單一裝置登入,若企業內部需多組帳號同時登入需設定子帳號,任何帳號登入成功及失敗皆會發送email通知客戶,以降低遭到撞庫攻擊風險。而重設密碼時,官網與廠商後台皆會自動登出,防止駭客持續潛伏於客戶帳號之風險。
    • 機敏資訊加密存放
      本公司客戶之信用卡卡號相關作業,均遵循 PCI DSS 要求 –
      對機敏資訊使用強化加密方式存於資料庫,並結合金鑰管理流程,將流程及權責拆分,使資料庫管理人員(DBA)無法解讀機敏加密資訊,而開發人員無資料庫存取權限,相互制衡以保護客戶信用卡號不受任何單一部門及人員能存取。
  3. 系統架構之資安防護
    • 雙因子認證登入
      遵循 PCI DSS 要求 – 連線至正式機房,除了帳號密碼認證之外,同時以手機 Google Authenticator 進行雙因子驗證登入,利用輸入手機上 Google Authenticator 每分鐘刷新的驗證碼強化驗證流程,避免不法人士取得外洩的帳密即可登入之情形。
    • 內部網路隔離
      內部網路依部門別皆以防火牆隔離,如發生勒索病毒事件只會影響單一部門,不至擴散全公司;且每日備份,降低勒索病毒事件影響程度。
    • IPS保護機制
      透過入侵預防系統(Intrusion Prevention System)對異常網路入侵行為,進行即時阻斷,並發出異常告警。
    • 營運持續計畫
      對核心服務系統(金流、物流、電子發票)及相關支援系統進行營運衝擊分析,並依據分析結果決定營運持續之各項指標恢復時點,規劃透過雲端平台每日異地備份系統資料及設定。本公司每年定期執行災害復原暨營運持續計畫演練以確保相關流程可運作無礙。
三、辦公室資訊安全

為增進人員日常資安意識以及因應災害時的應變能力,本公司辦公室資訊安全相關防護措施如下:

  1. 定期辦理人員資安及個資教育訓練,全體同仁每年至少需參與3堂,合計3小時之資安及個資相關教育訓練,並且每年定期執行6次社交工程釣魚信件測試。
  2. 由金融業等級之網路設備監控及管理對外的網路端口節點流量,以控管辦公室網路安全。
  3. 設置資安端點管控系統進行個人電腦資訊安全管理,以確保辦公室資訊安全。
四、DDoS攻擊事件之因應措施

本公司已設置多層次防禦機制,阻擋DDoS攻擊,相關措施如下:

  1. CDN雲端防護
    導入CDN雲端防護機制以保護所有主機免受DDoS攻擊,當巨量攻擊資料進來時,可有效阻隔DDoS攻擊,CDN可隱藏我方主機IP以避免攻擊,且無攻擊流量上限之限制。
  2. 電信等級DDoS防禦
    透過固網業者提供的多層次DDoS防禦服務,針對分散式阻斷攻擊進行清洗防禦避免頻寬塞爆,且可應對資源耗盡及應用層攻擊進行清洗防禦以確保正常流量抵達伺服器,同時提供即時監控、通報、客製化告警報表系統,即時掌握攻擊狀況。
  3. 本地端防護設備防禦
    本地端IPS防護設備過濾來自網際網路的惡意流量及阻擋非正常連線,用以保護伺服器及相關的服務,減輕伺服器工作負擔。並設有流量分析機制可對當下突發事件之來源及目標進行分析,及時調整防火牆的阻擋攻擊規則,隔離受攻擊之主機等應變措施。
  4. 聯合應變小組
    由專人負責監控系統資源狀況,並配合固網業者DDoS防護NOC支援團隊7×24監控,雙方可隨時因應不同攻擊手法聯繫,即時針對不同的攻擊手法來進行DDoS防禦機制的調整及確認,大幅度提升DDoS防禦的靈活性及強度提升。
五、投入資通安全管理之資源

綠界科技每年穩定投入一定人力與預算,在專責人員任用、培訓、資訊安全技術研究、設備及服務採購等面向持續投入資源。

資訊安全與個資相關作業人員共計26人(資安11人,個資15人),其中專責資安人員共計4人,負責處理如資安相關專案及產品導入、弱點掃描、滲透測試、外部驗證及法遵等作業。

  • 專責資安人員持有之資安證照詳下表

資安人員持有之管理領域資安證照包含ISO 27001 LA, ISO 29100 LA, BS10012 LA;技術領域則有CEH(Certified Ethical Hacker, 駭客技術專家), ECSA(EC-Council Certified Security Analyst, 資安分析專家)及OSCP(Offensive Security Certified Professional, 進攻性安全認證專家)。針對資安專業領域人力,每年皆規劃提供人員外部訓練預算,支持人員進修,以維持組織資安維運及成長能量。

六、個人資料保護

本公司為金流、物流及電子發票之電子商務服務供應商,提供客戶一站式的管理平台,客戶可於自身網站或使用本公司提供之購物車平台串接所需服務之API以存取、管理相關業務資訊。

針對所蒐集之個人資料,本公司依據個人資料管理制度,定期盤點組織內個資,識別個資含量、風險高低以規劃執行個人資料保護及資訊安全強化措施,相關加密、權限管理及實體、系統、網路安全規範皆明文訂定遵循。

為防止非授權及單一人員得以完成整個機密資料相關或重要作業流程,本公司對系統權限及機密資訊存取進行分級分權控制,任何系統帳號之申請、管理功能或系統節點的開啟都需要透過正式的資安管理表單申請及審核。針對系統帳號及權限,每月提供離調人員名冊複檢移除情形,每年定期檢視現有之權限是否需保留或調整。