公司治理Corporate Governance
資通安全政策及管理
首頁 公司治理 資通安全政策及管理

 

本公司於110年7月由副總擔任資通安全長成立【資通安全委員會】,本委員會以資通安全政策為依歸,定期制定/檢討各項資通安全管理辦法與指標、督導資通安全執行情形,以建構出資通安全防衛能力及培養同仁良好的資通安全意識,每年年初定期向董事會報告前一年度執行情形,114年資通安全風險管理報告業於115年3月4日提報董事會。
本公司113年10月通過ISO27001:2022改版認證作業,其認證效期至116年11月,已於114年10月完成第一次續評驗證,並持續強化資通安全管理,且於114年11月完成「國防部列管軍品廠商定期安全查核」年度複檢。
 
ISO27001證書(有效期為110年11月26日至116年11月25日)
ISO27001證書_CHISO27001證書_C
 
 
資通安全委員會組織架構
由董事會通過的副總經理以上之高階主管擔任資安長,資安長擔任主席,本公司副總經理及一級單位主管為委員會必然成員。其為本公司資安管理系統之最高決策單位,主要為建構、推展、監督與管理資安工作。行政管理處長為執行祕書。
資通安全委員會組織圖
 
 
資通安全管理政策
目的 為增進亞洲航空股份有限公司(以下簡稱本公司)資通訊作業安全及穩定之運作,提供可信賴之資、通訊服務,確保資訊資產之機密性、完整性及可用性,並順利推展本公司各項業務,以符合ISO27001國際標準規範,特制定本公司資通安全政策(以下簡稱本政策)作為本公司資通安全管理最高指導方針。
基本原則 (一) 確保本公司相關資訊之機密性,以防止洩漏國家機密、業務機密與個資。
(二) 確保本公司相關資訊資產之完整性及可用性,提升企業效能。
(三) 配合資安情資分析及可取得之資源,提升資安防護能力。
(四) 確保資訊資產能在發生資安事故後迅速恢復運作,最大程度地減少業務中斷,達成業務持續運作之目的。
(五) 遵循相關國家法律、法規、行業標準及合約義務,確保滿足所有適用的規範與要求。
(六) 提高相關人員對資安的重視程度,培養良好的資安認知與習慣。
(七) 持續改善資安管理系統,確保其在所有層面持續有效運行。
政策 資安防禦不可少,各項測試要做好,
社交訓練不馬虎,專業培訓基礎高;
風險評鑑妥處置,內稽管審評績效,
持續改善求精進,勒索威脅防堵牢。
目標 (一) 資安防禦不可少 (設定資訊資產防護覆蓋率(端點、防火牆))
(二) 各項測試要做好 (設定修補的中高漏洞比率)
(三) 社交訓練不馬虎 (設定年度社交工程測試報告之點擊率)
(四) 專業培訓基礎高 (設定資安專責人員訓練時數)
(五) 風險評鑑妥處置 (設定關鍵資訊系統年度可用率)
(六) 內稽管審評績效 (設定年度內稽發現之主要、次要缺失件數)
(七) 持續改善求精進 (設定年度缺失矯正單結案率)
(八) 勒索威脅防堵牢 (設定備份還原成功率)
審查 本政策由資通安全長核定,每年至少評估一次,或於組織有重大變更時(如組織調整、業務重大異動等)重新評估。依評估結果、相關法令、技術及業務等最新發展現況,予以適當修訂。
 
 
資通安全管理措施及方案
資安風險管理措施如下表:
項目 具體管理情況
防火牆防護 1.防火牆設定連線規則,管制各進出內、外網的連線。
2.如有特殊連線需求需經CSR申請,且應依據最小權限存取控制基準填寫權限需求,經一級單位主管核准並由資安組確認需求無虞後始能開放。
3.每月監控分析防火牆被攻擊數。
使用者上網控管機制 1.有上網需求者需以CSR檢附「資訊安全權限申請表」申請,由一級單位主管核准後始為開放。
2.上網管制:配合防火牆設定,不得使用即時通訊軟體、網頁式郵件、雲端硬碟及檔案傳輸軟體與服務;YouTube等影音網站,須經申請核定方可使用。
郵件安全管控 1.對外郵件有郵件過濾/記錄系統來自動對郵件執行掃描與威脅防護。對於可能有不安全的附件檔案、釣魚郵件以自動判斷機制註記為垃圾郵件,提供使用者多一重判斷收信與否的依據。郵件在主機端與使用者端皆會受到各自的防毒軟體來掃描防護。
2.統計外部郵件收發件數與明細,監控異常收發狀況,避免機密資料外洩。
網站防護機制 網站有防火牆裝置阻擋外部網路攻擊。
防毒軟體 各主機已安裝 CrowdStrike 端點防護軟體,以雲端與AI為基礎,結合次世代防毒、端點偵測與回應、行為分析與威脅情報等功能,可即時偵測並回應惡意攻擊活動,有效提升端點安全。
內部網路暨無線網路控管機制 1.無線網路區分內部網路與外部網路,內/外網路以VLan隔離。
2.內部無線網路以MAC碼鎖定已核定開放之公務筆電、平板。
3.外部無線網路(僅在部份地區開放),採用連線金鑰提供客戶代表、廠商在特定辦公區域之辦公連線需求。
資訊機房安全管控 1.機房進出需登記,並在資安人員陪同下始得進入。
2.機房設有UPS不斷電系統,不正常停電時可保證餘裕時間30分鐘以上,讓資安人員將伺服器關機,保護伺服器系統不因停電而故障。
高可用性備援機制 主機系統採VMWARE虛擬化管理,在兩個機房以成套的儲域系統執行高可用性備援機制,使其系統故障時能於最短時間內恢復系統運作。
備份機制 1.資訊系統資料庫皆設定每周完整備份、每日差異備份。
2.資訊系統程式暨檔案伺服器內文件於每日完整備份。
作業系統更新 作業系統重大與安全性更新,設置WSUS主機自動更新系統統一自動派送安裝到公司電腦。因故未更新者由資安組協助進行更新。
使用者帳號/權限管理 1.使用者帳號需經CSR申請,經一級單位主管核定後方得建檔使用。
2.使用者係依公司組織架構進行分組管理,並依其職責劃分對應之存取之權限。
3.專案管理目錄需得經一級單位主管及專案經理核定始得建置專案管理目錄,使用權限依CSR申請,經專案經理核定後開放之。
USB磁碟存取管制 1.一般使用者電腦經GPO設定,禁止使用USB裝置。
2.因公務需求需使用USB裝置,需經CSR申請逐級簽核至總經理核准後始得開放。
 
114年度資通安全管理資源及各項工作執行成果:

1.於10月召開年度資通安全審查會議1次。
2.執行內部稽核2次:10張矯正缺失單100%均已改善完成。
3.年度總計召開資通安全例行會議4次。
4.訓練計畫(資安專責人員):派資安專責人員4員參與資訊安全相關專業課程,計160小時。
5.訓練計畫(非資安專責人員):派6員參與資訊安全相關課程,計192小時。
6.資通安全通識教育訓練:合計舉辦2場(含線上訓練課程),共1,172人次參與,合計3,516小時,符合計畫。
7.年度實施社交工程測試演練3次,共1,295人次參與,未通過人數309人,點擊率23%,未通過人員均已完成再教育訓練。
8.年度進行資訊資產盤點查核1次,報廢資訊資產均已依規定完成實體破壞程序,依廢棄物處理清運。
9.執行營運持續演練計畫11次,演練發現之缺失已修正。
10.執行備份資料回存測試1次:執行情況符合計畫。
11.執行主機弱點掃描2次:共改善63個風險。
12.執行主機滲透測試1次:除去誤判項目後,均無中高風險漏洞。
13.執行資安健檢1次:提出9項建議,已依建議事項改善相關措施。
14.帳號權限審查7次,審查各系統一般及特權帳號、停用帳號151個,並關閉41個超過一年未登入相關系統之帳號。
15.本年度之專案計畫辦況如下:
 A.MIS系統升級:延續112年MIS系統升級案,因全力趕工入口網站流程程式,暫緩作業。
  專案辦況:MIS之老舊作業系統總計17部,除已改善1部檔案伺服器。餘者因程式架構無法直接升級。改採用安裝單機
                        強化型防護軟體CrowdStrike,以強化本機防禦,降低風險。MIS改版進度已完成連線架構程式改寫,
                        程式範本改寫測試修正己完成,待全力趕工入口網站流程程式後,持續進行改版升級計畫。
 B.入口網站汰換:延續112年EIP系統升級案。
  專案辦況:已購入新的EIP系統,刻正全力趕工入口網站流程程式與系統導入,預計115年第一季末上線。
 C.個人電腦汰舊案:汰換老舊電腦。
  專案辦況:依計畫完成。
 D.網路設備汰換:因應資安需求,逐年汰換老舊之網路設備,以利逐步強化內部網路資安管控。
  專案辦況:已汰換40餘部老舊、中製之網路設備,其餘持續辦理中。
 E.新購儲存設備:因應系統改版及資料量日益增加的情況,增購儲存設備。
  專案辦況:已於完成增購,符合預期目標。
 F.增購端點防護軟體:鑑於資安威脅強度增大,增購端點防護軟體以加強主機防護。
  專案辦況:本年度已增購800套端點防護軟體,符合專案目標。
 G.購置檔案加密系統:維護重要機密檔案的安全性。
  專案辦況:本年度已與相關廠商進行功能測試及技術評估,惟因需符合CMMC規定之FIPS標準,故尚在尋找合規之廠商。 

 

115年度計畫:
專案計畫
1.MIS系統升級:延續112年MIS系統升級案,將持續進行改版作業。
2.入口網站汰換:延續112年EIP系統升級案,刻正全力趕工入口網站流程程式與系統導入,預計第一季末上線。
3.個人電腦汰舊案:持續汰換老舊電腦。
4.購置檔案加密系統:維護重要機密檔案的安全性。
5.辦公軟體升級:為配合ISO/IEC27001對資訊處理環境與支援系統之安全要求,以維持系統更新與資安控管之有效性。
6.CMMC Level 1 認證規劃:因應未來國防及相關產業之商機發展,規劃於115年度取得CMMC Level 1認證,強化公司參與相關專案之競爭力。
7.儲能系統導入評估:為提升資訊系統對突發狀況(如電力中斷)之應變能力,降低營運中斷風險,規劃評估導入儲能系統,以強化關鍵資訊設備之持續運作能力與整體營運韌性。
 
例行性計畫
1.年度教育訓練。
2.年度社交工程演練。
3.主機弱點掃瞄。
4.帳號審查。
5.營運持續演練。
6.資料備份回存。
7.資通安全審查會。
8.資產清查。