資訊安全
為確實保障公司及客戶資訊安全及確保公司之資料、資訊、設備、人員、網路系統之運作順暢,尖點視資訊安全管理極為關鍵。針對資安風險管理,訂有「內部控制—電子資料處理循環」及「電腦網路使用與資訊安全作業程序」供同仁遵循;設置資訊處,負責全集團資訊安全規劃、執行與督導,並於每年檢討資安政策及相關規定。
資訊安全管理
2024年,尖點正式導入並通過了 ISO/IEC 27001:2022認證,從治理面、風險管理、合規性、營運控制等多個層面進行管理,共新增16份程序書和42份表單。除了完善資安架構及政策外,並建構多層資安防護,將控管機制整合於軟硬體維運、資安管理等日常作業流程,系統化監控資通安全,以維護公司重要資產的機密性、完整性及可用性,以達成持續營運的目標。
資訊安全監控與即時防護
尖點與專業廠商合作,實施即時監控和偵測以預防資安異常事件。透過微軟端點進階威脅防護和身分識別技術,使公司能夠對可疑風險進行即時處理,有效避免重大資安事件的發生。此外,尖點對集團內電腦採取全面性資訊安全防護,包括帳號行為追蹤與分析、防止駭客滲透和裝置異常活動分析,有效阻止滲透偽冒攻擊。
網站安全和弱點管理
為降低公司重要網站的資訊安全風險,2023年尖點針對重要網站進行弱點掃描。根據掃描結果和專業廠商的建議,進行修補與改善,使公司重要網站無高風險弱點和漏洞。
多層次網路防護
為抵禦外部網路攻擊,尖點設置了多層防護,包括防火牆、網頁應用防火牆和ISP網路防護。這些措施有效地阻擋了來自不同層面的外部攻擊。同時,公司的郵件防護系統能有效識別包括網路釣魚、垃圾郵件、惡意檔案和程式碼攻擊在內的各種攻擊類型。
資料備份和災難恢復
尖點遵循備份3-2-1-0原則,備份公司重要系統並於異地存放備份副本,每年進行備份還原演練,確保在意外或災難發生時能迅速有效地恢復系統,以減少損失。
資訊安全教育訓練
在資訊安全教育訓練方面,尖點非常注重同仁的培訓。每位新進同仁入職時,都會提供資訊安全教育訓練,確保新進同仁充分理解資訊安全的重要性及相關規範。此外,每年進行集團社交工程演練,加強全體同仁的資安意識;針對資安意識不足之同仁亦會進行額外的教育訓練,確保集團全體同仁能夠完全了解與認知資訊安全的重要性。
2024年未發生重大資訊安全事件,也無任何資安事件造成公司及客戶的損失,未來尖點會持續維護與提升集團整體資安環境。
