資訊安全
資訊安全政策
資訊安全與機密資訊保護是國際海洋對客戶、股東及夥伴的承諾。國際海洋為強化資通安全防護及管理機制,設立資訊安全小組及資安主管,配置專業之人力與資源,明訂資訊安全政策、管理程序及規範,宣示捍衛資訊安全的決心與推動資訊安全的目標—維護國際海洋股份公司的市場競爭力及保障客戶與合作夥伴利益。
資訊安全治理
國際海洋設有專責單位資訊安全小組,負責資訊安全政策與制度之規劃、監控及管理作業。成立資訊安全組,與公司資訊技術及相關單位組織協同合作,強化資通安全防護及管理機制。資訊安全小組每年至少一次彙報資安風險管理、全球資安風險趨勢、公司資訊安全政策、計劃與執行成效。
資安主管:由本公司財務長擔任
管理代表:由資訊主管擔任資安管理代表。
下轄各小組之成員:下轄文管小組與稽核小組,由管理代表遴選各單位代表擔任,協助各項資安活動之進行。
資訊安全策略與方法
資訊安全小組積極深化資訊安全與機密資訊保護機制以維護國際海洋股份公司的競爭力。遵循國際資安標準與框架,明訂資訊安全政策、程序與規範,持續進行管理制度與技術的強化,並執行全方位的風險管控,以達到國際海洋股份公司資訊安全管理的目標。企業資訊安全組織定期執行資安風險評估,依據風險影響的大小、機率,以及改善風險所需成本以設定優先序,採用規劃、執行、查核與行動(Plan-Do-Check-Act, PDCA)的方法,架構多層的資安防禦,並建立資訊安全關鍵績效指標。國際海洋建構資訊安全管理系統(Information Security Management System, ISMS),自2023年起即取得ISO 27001國際資訊安全管理認證,至今年(2024年)持續不間斷取得認證,每年證書有效的持續評估訪問,其認證範圍涵蓋本公司資訊部ERP系統開發、維護及基礎網路設施、資訊設備維護資訊活動之管理。
資訊安全管理與執行重點
國際海洋為了預防及降低外部資安風險,落實及持續更新嚴謹的資安措施,例如建置先進的病毒掃描工具,以防止公司電腦安裝受病毒感染的風險;強化網路防火牆與網路控管以防止電腦病毒跨不同部門擴散;在公司電腦上 建置防毒措施及先進的惡意軟體偵測解決方案;改善資安部署時間以強化資料中心安全。並建立與定期檢討資安績效指標;導入新技術加強資料保護;加強釣魚郵件偵測並定期執行員工警覺性測試;建立一個整合的自動化資安維運平台並強化資安事件偵測與處理自動化;持續演練資安攻擊之處理程序。每年持續進行的資安執行重點如下:
- 網路安全控管
- 資產管理及資料保護
- 存取控制
- 電腦維運安全管理
- 人員及實體安全
- 應用程式安全
- 資安事件處理與管理
- 人員資安管理與教育宣導
- 資產風險管理
資安事件處理與通報
國際海洋已建置企業風險管理機制與資安事件處理標準程序,明訂相關流程與措施,包含資安事件通報程序、指派負責人員處理重大資通安全事件、評估遭受損失及進一步的必要因應措施、評估資安風險可能對公司財務與營運的影響及其因應措施。
