公司治理Corporate Governance
資通安全政策及管理
首頁 公司治理 資通安全政策及管理

 

本公司於110年7月由總經理室副總擔任資通安全長成立【資通安全委員會】,本委員會以資通安全政策為依歸,定期制定/檢討各項資通安全管理辦法與指標、督導資通安全執行情形,以建構出資通安全防衛能力及培養同仁良好的資通安全意識,每年年初定期向董事會報告前一年度執行情形,112年資通安全風險管理報告業於113年2月29日提報董事會。
本公司取得ISO27001認證並於當年110年11月受頒證書,其認證效期至113年11月,且於112年11月完成且通過本年度ISO27001續評作業,並持續強化資通安全管理,於111年9月通過「國防產業發展條例-列管軍品廠商級別認證」,且於112年6月完成本年度「國防部列管軍品廠商定期安全查核」。
 
ISO27001證書(有效期為110年11月26日至113年11月25日)
ISO27001證書_CHISO27001證書_EN
 
 
資通安全委員會組織架構
委員會由總經理室副總擔任資通安全長,委員會成員:總經理室、軍機事業部及直昇機事業部副總、董事長室主任、各軍機事業部門廠長/處長、行政管理處/品保處/財務處/採購處處長及資訊組長;行政管理處處長為執行秘書。
資通安全委員會組織圖
 
 
資通安全管理政策
目的 為增進亞洲航空股份有限公司(以下簡稱本公司)資通訊作業安全及穩定之運作,提供可信賴之資通訊服務,確保資訊資產之機密性、完整性及可用性,並順利推展本公司各項業務,以符合ISO27001國際標準規範,特制定本公司資通安全政策(以下簡稱本政策)做為本公司資通安全管理最高指導方針。
目標 (一)確保本公司業務相關資訊之機密性,保障國家機密與個人資料。
(二)確保本公司業務相關資訊之完整性及可用性,提高行政效能與品質。
(三)配合國家及本政策之推動,提昇資通安全防護能力。
(四)符合國家法令與本公司之規範,達成業務持續運作之目標。
策略 (一)將相關法律規章要求及考量未來營運目標,評估資通訊作業安全需求,建立相關程序,以確保本公司資訊資產之機密性、完整性及可用性。
(二)建立本公司資通安全組織並訂定分工權責,俾利推行資通安全作業。
(三)依資通安全責任等級分級辦法之規定執行各項應辦事項。
(四)建立資通安全事件通報應變機制,以確保資安事件妥善回應、控制及處理。
(五)定期執行資通安全稽核作業,以確保資通安全管理落實執行。
審查 本政策由資通安全長核定,每年至少評估一次,或於組織有重大變更時(如組織調整、業務重大異動等)重新評估。依評估結果、相關法令、技術及業務等最新發展現況,予以適當修訂。
 
 
資通安全管理措施及方案
資安風險管理措施如下表:
項目 具體管理情況
防火牆防護 1.防火牆設定連線規則,管制各連入連出內網與外網的連線。
2.如有特殊連線需求需經CSR申請,由廠處長核准始能開放(或為常態性開放或為資訊人員設定排程只在某一時段開放)。
3.每月監控分析防火牆被攻擊數。
使用者上網控管機制 1.有上網需求者需經CSR申請,由廠處長核准後始為開放。
2.上網管制:配合防火牆設定,不得使用即時通訊軟體、網頁式郵件、雲端硬碟及檔案傳輸軟體與服務;YouTube等影音網站,須經申請核定方可使用。
郵件安全管控 1.對外郵件有郵件過濾/記錄系統來自動對郵件執行掃描與威脅防護。對於可能有不安全的附件檔案、釣魚郵件以自動判斷機制註記為垃圾郵件,提供使用者多一重判斷收信與否的依據。郵件在主機端與使用者端皆會受到各自的防毒軟體來掃描防護。
2.統計外部郵件收發件數與明細,監控異常收發狀況,避免機密資料外洩。
網站防護機制 網站有防火牆裝置阻擋外部網路攻擊。
防毒軟體 1.使用多層次防毒作業,降低中毒機會。防火牆、內部網路電腦各使用不同版本的防毒系統。
2.即時性更新防毒軟體病毒碼,降低中毒風險。
內部網路暨無線網路控管機制 1.無線網路區分內部網路與外部網路,內/外網路以VLan隔離。
2.內部無線網路以MAC碼鎖定已核定開放之公務筆電、平板。
3.外部無線網路(僅在部份地區開放),採用連線金鑰提供客戶代表、廠商在特定辦公區域之辦公連線需求。
資訊機房安全管控 1.機房進出需登記,並在資訊人員陪同下始得進入。
2.機房設有UPS不斷電系統,不正常停電時可保證餘裕時間30分鐘以上,讓資訊人員將伺服器關機,保護伺服器系統不因停電而故障。
高可用性備援機制 主機系統採VMWARE虛擬化管理,在兩個機房以成套的儲域系統執行高可用性備援機制,能使各主要主機,皆有高可用性,可在系統故障時於最短時間內恢復系統運作。
備份機制 1.資訊系統資料庫皆設定每周完整備份、每日差異備份。
2.資訊系統程式暨檔案伺服器內文件於每日完整備份。
作業系統更新 作業系統重大與安全性更新,設置WSUS主機自動更新系統統一自動派送安裝到公司電腦。資訊組監控因故未更新者,由資訊組協助更新。
使用者帳號/權限管理 1.使用者帳號需經CSR申請,經廠處長核定後方得建檔使用。
2.使用者區分幾組為最小單位採取權限管控。
3.專案管理目錄需得經廠處長及專案經理核定始得建置專案管理目錄,使用權限依CSR申請,經專案經理核定後開放之。
USB磁碟存取管制 1.一般使用者電腦預設禁止使用USB裝置。
2.因公務需求需使用USB裝置,需經CSR申請逐級簽核至總經理核准後始得開放。
 
112年度資通安全管理資源及各項工作執行成果:

1.於10月召開年度資通安全審查會議1次。
2.執行內部稽核2次:共開立8張矯正缺失單,100%已改善完成。
3.年度內召開資通安全處理小組討論會議6次。
4.訓練計畫(資安專責人員):派資安專責人員4員參與資訊安全相關專業課程,計460小時。
5.訓練計畫(非資安專責人員):派6員參與資訊安全相關課程,計555小時。
6.教育訓練:合計舉辦2場,共1,314人次參與,合計3,681小時,符合計畫。
7.年度實施社交工程測試演練2次:合計212人次,通過測試成功率94.8%,未通過人員均已完成再教育訓練。
8.年度進行資訊資產盤點查核1次,報廢資訊資產均已依規定完成實體破壞程序,依廢棄物處理清運。
9.執行營運持續演練計畫6次,演練發現之缺失已修正。
10.執行備份資料回存測試1次:112年7月及112年10月各執行一次。
11.執行主機弱點掃描2次:共改善弱點總數66個。
12.執行主機滲透測試1次:共改善43支程式及4個弱點。
13.執行資安健檢1次:提出5項建議,其中4項改善完成,1項持續改善中。
14.本年度之專案計畫完成率65%,辦況如下:
 A.為強化資安防護與監控,將採購Log Server,以利監控及儲存各設備和使用者之Log紀錄檔。
  專案辦況:已完成,112年1月正式使用。
 B.為加強個人電腦安全,避免老舊作業系統之相關漏洞,更換個人電腦作業系統。
  專案辦況:實際新購個人電腦270部,用以汰除不符規格的老舊電腦;另有105部個人電腦加購記憶體進行直接升級,完成進度約80%,預計於113年第一季完成。
 C.為防止駭客攻擊,採用雙因子驗證方法加強資安防護,抵禦惡意攻擊,降低資安風險。
  專案辦況:已完成,112年10月初正式實施。
 D.MIS主機改版升級計畫。
  專案辦況:MIS之老舊作業系統總計17部,目前已改善1部檔案伺服器。其餘未更新系統均已安裝趨勢科技Deep Security系統提供之IDS/防毒/補丁,以強化本機防禦,降低風險。
  MIS改版進度已完成初步評估,並已下單採購相關軟體,持續進行MIS改版升級計畫。
 E.EIP主機升級計畫,買斷或上雲待評估。
  專案辦況:因軍品級別認證安全性規範,故不採用雲端作業。目前已詢訪5家廠商進行評估中,本專案將延續至113年持續辦理。

 

113年年度計畫:
專案計畫
1.MIS系統升級:延續112年MIS系統升級案,持續進行改版作業。
2.入口網站汰換:延續112年EIP系統升級案,本年度預計完成升級。
3.個人電腦作業系統更新升級案:延續前一年度計畫之執行更換作業。
4.網路設備汰換:因應資安需求,逐年汰換老舊之網路設備,以利逐步強化內部網路資安管控。
5.資通安全威脅偵測管理:因應ISO27001:2022版本需求,導入資通安全威脅偵測管理。
6.公文系統升級:公文系統使用已近10年,為期加強資安管理,預計升級相關作業系統,本年度第一季可完成。
7.資訊資產管理系統:為強化資訊資產的安全管控,預計導入資訊資產管理系統,以有效管控占資訊安全大部份節點的個人電腦安全管理。
8.ISO27001改版認證:鑒於ISO27001發佈新版規範,從原「ISO27001:2013」改版至「ISO27001:2022」,且預計113年將配合採用新版規範進行重新認證,公司將修訂相關手冊及增加符合新版資安之必要措施。。
 
例行性計畫
1.年度教育訓練。
2.年度社交工程演練。
3.主機弱點掃瞄。
4.帳號審查。
5.營運持續演練。
6.資料備份回存。
7.資通安全審查會。
8.資產清查。