2024資訊安全重要執行事項 

每月一號E-mail發佈資安宣導

• 2024/12/11：資訊安全內部稽核作業
• 2024/12/5~12/19：資訊安全政策宣導
• 2024/10/23：董事會資安管理執行情況報告
• 2024/10/21~11/29：資訊安全健檢
• 2024/9/5~9/23：資訊安全風險評鑑
• 2024/8/5~9/6：社交工程演練
• 2024/5/17：資訊安全教育訓練
• 2024/1/16~11/30：獲災難復原演練
• 2024/1/17：資訊安全管理審查會議

2022/04通過ISO27001:2013認證

ISO27001證書有效期為2022/4/7~2025/4/7

主任(副主任)委員

1. ISMS管理制度之政策核准。
2. ISMS系統之目標的核准與確保審查框架的建立。
3. ISMS管理制度相關事務之資源取得、分配、協調與督導。

.

管理代表

1. 管理代表本身具有一切與資訊安全管理運作的監督權責，當資訊安全管理系統運作發生異常時賦有向高階管理階層直接提報權力，不受行政系統與外部影響。
2. 協助召開管理審查會議、資訊安全會議。
3. 依照客戶需求之規定，負責要求建立、執行、維護符合資訊安全管理活動的書面化程序。
4. 督導資訊安全事務之分配與協調，包含資訊安全管理認證單位之聯繫窗口。
5. 協助高階管理階層提升全員對客戶資訊安全要求、法令法規的認知。
6. 透過內部稽核活動成果，負責將資訊安全管理實施成效，向管理階層報告，以作為系統改善依據。
7. 召開ISMS各階段會議

文管中心

1. 應於定期（臨時）會議中報告有關本管理系統之運作及有關之紀錄。
2. 統一對公司員工發佈本系統相關文件規範。
3. 宣達與執行本委員會決議事項。
4. 配合輔導顧問實施輔導工作。
5. 協同驗證機構辦理驗證工作。

管理委員

1. ISO 27001資訊安全管理系統的推動、維持及改善。
2. 出席資訊安全管理審查會議。
3. 資訊安全管理系統本公司營運要求適切性審查。
4. 資訊安全績效有效性審查。

管理成員

1. ISO 27001資訊安全管理系統的推動、維持及改善。
2. 負責資訊安全管理制度相關程序文件之撰寫。
3. 負責資訊資產盤點、風險評估、風險處置、殘餘風險處理之全過程。
4. 相關法令、法規遵循之界定與更新。
5. 負責資訊安全之適用性聲明書之修訂。
6. 緊急應變通報、災害復原系統的規劃與執行。
7. 負責持續營運計畫之制定、修訂與維護。
8. 出席資訊安全管理審查會議。

• 人員安全評估
• 資訊安全訓練
• 電腦系統作業安全管理
• 日常作業之安全管理
• 電腦媒體之安全管理
• 資料及軟體交換之安全管理
• 網路安全管理
• 電子郵件之安全管理
• 全球資訊網之安全管理

• 憑證機構之安全管理
• 系統存取控制規定
• 應用系統存取之管理
• 電腦主機之存取控制
• 外部人員存取資訊之安全管理
• 設備安全管理
• 周邊安全管理
• 業務永續運作之規劃
• 業務永續運作之計畫

Physical security

• 門禁管制：公司同仁每人配發磁卡作為進出公司之用，刷卡資料均有紀錄供查核。
• 安全監控：公司辦公場所、停車場、倉庫設有24小時監控錄影設備。
• 消防設施：公司備有火警自動監控、發報系統。
• 夜間及假日備有保全人員值勤，自動警報系統保持24小時與保全公司監控系統連線。

Network security

• 互動國際數位HQ與各據點間之網路連結，透過Intranet VPN服務串聯起來。
• 互動國際數位之網路架構透過 FireWall / VPN將公司內網與Internet區隔開，保障公司網路及設備之安全。
• 將Server 與 Client PC 隔開，保障Server之安全。
• 公司同仁無線上網與訪客之無線上網區隔開來，保障公司內網之安全。

Server security

• 透過 AD Server 做 User Account 的 控管。
• 透過 AD Server 之 做 Server security管理。
• 透過機房日常檢查，定期執行Server Patch Update。
• Server 皆有安裝防毒軟體，並自動更新病毒碼及程式。

Logical data security

• Authentication：透過 AD Server 做 User Account 的身分認證。
• Authorization：透過 AD Server 做目錄及檔案存取權限之管理。
• 透過AD Server之密碼變更機制，使用者須定期變更密碼，且需符合密碼設定規範。