資安措施與執行成果

鼎新電腦2023年資訊安全主要措施

技術面
主要措施
數據存取權限管控
制定《個人資料檔案安全維護計畫》《業務終止後個人資料處理方法》,明確規定許可權外數據使用必須通過嚴格的簽呈申請流程,由事業群最高主管、數據管理方、內審逐級審核,並明確授權期限。
對於客戶數據,原則上禁止批量導出明細,如有特殊需求,須通過簽呈申請流程,經群處最高主管、數據管理方、內審逐級審核以判斷必要性,經去隱私化處理後方可提供。
員工安全意識提升
持續開展新員工資訊安全培訓及考試;
要求員工調離崗位後履行保密承諾;
要求員工在脫密期限後方可離職,並簽署《保密協議》;
分區域安排員工進行資訊安全培訓並安排線上考試,並對業務團隊進行了資訊安全專項培訓。
資訊安全審查
每季度審查防毒軟體的安裝及使用情況,每半年審查一輪系統許可權與數據許可權的授權情況。
合作夥伴資訊安全
在供應商選擇評估流程中強化資訊安全評估環節。
針對雲端服務、在地化部署兩種方式制定不同的資訊安全評估策略,要求合作方及供應商提供三方機構的審查報告,涉及數據與數據的安全防護能力。
產品通過
資訊安全認證
鼎新雲依據國家等級保護制度認證、ISO體系認證和安全聯盟認證,建立基於安全保護對象為基礎、鼎新雲特有的安全保障體系框架。
鼎新雲採用業界主流通用的安全框架,主要包括安全管理要求與安全技術兩個層面,已通過ISO27001:2013資訊安全管理系統認證。
「METIS平台」獲得資訊安全保護三級認證。

定期實施各項危機處理演練

【社交工程演練】
為持續增進員工對郵件安全意識,2023年社交工程演練測試結果符合「國家資通安全通報應變作業綱要」及「防範惡意電子郵件社交工程施行方案」規定,惡意郵件開啟率與連結點擊率結果均符合合格率目標(80%, 76%),將持續並定期舉辦社交工程演練,提高同仁識別和應對社交工程攻擊的技能和能力,透過模擬真實的攻擊情境,同仁可以學習如何識別攻擊者的技巧和策略,並學習如何採取有效的措施來保護自己和組織免受社交工程攻擊的影響。

項目
頻率
對象
主要措施
社交工程
演練
每年一次
台灣公司
本次社交工程演練針對台灣受測演練1935人之郵件帳號,寄送2封共5870封特製之演信件進行測試。
「點閱率」80%合格率
「附件開啟率」76%合格率
x