資通安全管理


IKKA Holdings(Cayman)Limited Taiwan Branch 2025 年に SGS ISO/IEC 27001:2022 バージョン証明書を取得しました。有効期間は 2025 年 2 月 23 日から 2028 年 2 月 23 日までです。

1、 情報通信セキュリティリスク管理フレームワーク

  1. 当社の情報セキュリティに関する責任部署は管理部であり、情報セキュリティ責任者1名と情報セキュリティ担当者1名で構成され、当社の情報セキュリティポリシーの策定、情報セキュリティ対策の企画、関連する情報セキュリティ業務の遂行を担当し、定期的に管理部門に報告しています。取締役会は会社の情報セキュリティガバナンスについて報告しており、最新の報告日は 2024 年 12 月 25 日です。
  2. 当社の監査部門は、情報セキュリティの監督のための監督部門です。監査部門には、内部情報セキュリティの実施を監督する責任を持つ監査監督者と専任監査担当者がいます。監査で不備が見つかった場合、監査対象部門は直ちに関連する改善計画を提案し、取締役会に報告します。改善結果を定期的に追跡し、社内の情報セキュリティリスクを軽減します。会計担当者は毎年情報運用監査を実施し、不備が見つかった場合には改善策を要求し、改善結果を追跡します。

2、情報セキュリティポリシー

「情報開発の基盤はセキュリティであり、セキュリティは情報運用の保証である」
  • 会社の情報セキュリティ管理を強化し、「セキュリティは情報開発の基礎であり、セキュリティは情報運用の保証である」という概念を確立し、顧客と同僚のデータ処理の機密性、完全性、可用性を確保し、会社のデータ処理を安全にします。プロセス全体を通じてセキュリティ保証を獲得し、安全で安定した効率的な情報サービスを提供します。

3、具体的な管理計画

  1. コンピュータ機器のセキュリティ管理
    1. 会社のコンピュータホスト、アプリケーションサーバー、その他の機器はすべて専用のコンピュータ室に設置されています。コンピュータ室のアクセス制御では、誘導カードのスワイプを使用して入退室し、入退室記録が検査用に保管されます。
    2. コンピュータ室には、コンピュータ機器を適切な温度環境に維持するための独立した空調設備が備えられており、一般火災や電気製品による火災に対処するために化学消火器が設置されています。
  2. ネットワークセキュリティ管理
    1. ネットワーク制御を強化し、外部ネットワークの入り口にエンタープライズレベルのファイアウォールを構成して、ハッカーによる不正侵入を防ぎます。
    2. 会社のイントラネットにリモートでログインしてデータにアクセスする同僚は、データベース VPN アカウントを申請し、安全な VPN 経由でログインする必要があります。使用記録は監査のために保存されます。
  3. ウイルス対策と管理
    1. エンドポイント保護ソフトウェアは、サーバーと従業員の端末コンピューターにインストールされます。ウイルスコードが自動的に更新され、最新のウイルスをブロックできます。同時に、潜在的に脅威となるシステム実行ファイルのインストールを検出して防止できます。
    2. 電子メール サーバーには、ウイルスやスパムがユーザーの PC に侵入するのを防ぐためのウイルス対策およびスパム フィルタリング メカニズムが装備されています。
    3. ウイルス対策システムは、検出または傍受されたウイルスを即座に隔離または削除するだけでなく、感染したコンピュータや危険なコンピュータに関するリスク レポートを積極的に発行して、管理者が適切な措置を講じられるようにします。
  4. システムアクセス制御
    1. 各アプリケーションシステムの同僚による使用は、会社が定めるシステム許可申請手続きの対象となります。担当上司の承認後、情報セキュリティ担当者はアウトソーシングベンダーにシステムアカウントの設定と要求された機能権限の承認を依頼します。アクセス。
    2. アカウントのパスワード設定は、適切な強度と文字数を持ち、英数字と特殊記号が混在している必要があります。
    3. アカウントのパスワード設定は、適切な強度と文字数を持ち、英数字と特殊記号が混在している必要があります。
  5. システムの継続的な運用を確保する
    1. システム バックアップ: オフサイト バックアップ システムを確立し、毎日のバックアップ メカニズムを採用します。システムとデータベースのコピーをオフサイト バックアップにアップロードするだけでなく、コピーをコンピューター ルームに保管して、絶対的な安全性を確保します。
    2. 災害復旧訓練:各システムでは年に1回訓練を実施しています。復旧日基準点を選択した後、バックアップメディアをシステムホストに復元し、ユーザーユニットは復元されたデータの正確性を書面で確認して、正確性と安全性を確保します。バックアップ メディアの有効性。
  6. 情報セキュリティ推進・教育研修
    1. 定期的なプロモーション: アカウントのセキュリティを維持するために、同僚にシステム パスワードを定期的に変更するよう強制します。
    2. 定期的なプロモーション: アカウントのセキュリティを維持するために、同僚にシステム パスワードを定期的に変更するよう強制します。
  7. 当社の情報セキュリティ管理者および担当者は台湾情報ソフトウェア協会に加入し、情報セキュリティ責任者協会での双方向の交流を通じて、より関連性の高い新しい知識と経験を習得しています。

4、 情報セキュリティ管理へのリソースの投資

  • 情報セキュリティポリシーを実行するために、台湾支社は2014年11月1日に専門のアウトソーシング会社と契約を締結し、コンピュータルームの再構成と情報の定期的なメンテナンスを行いました。コンピュータルームの再構成により、現在のセキュリティレベルが向上し、アップグレードされました。情報機器には、新規NT$250,000の投資が必要であり、以下の情報セキュリティ管理事項を維持し、ISO27001(ISMS)フレームワークの導入を支援する必要があります。月額維持費NT$25,000が必要で、総投資額NT$250,000が必要です。情報セキュリティ検査の管理に準拠するために55万ドル。
  1. ファイアウォール、管理されたネットワーク スイッチ、アプリケーションの可視性と制御、Wi-Fi デバイス、電子メールのウイルス対策、スパム フィルタリング、オンライン動作分析などのネットワーク ハードウェア。
  2. Active Directory ドメイン コントローラ、バックアップ管理ソフトウェア、VPN 認証およびログ記録と監視機能、ID 管理およびセキュリティ機能、情報保護およびアクセス制御メカニズムなどのソフトウェア システム。
  3. 侵入防御衣服、侵入検知サービス等の通信サービス。
  4. 毎日のシステム状態チェック、毎週の定期バックアップとバックアップメディアのオフサイト保管、年間情報セキュリティ教育コース、年間システム災害復旧実行訓練、年間情報サイクル内部監査、CPA監査など、人的資源が投入されています。
  5. 情報セキュリティ人材: 情報セキュリティアーキテクチャの設計、情報セキュリティの保守と監視、情報セキュリティインシデントの対応と調査、情報セキュリティポリシーのレビューと改訂を担当する情報セキュリティスーパーバイザー 1 名と情報セキュリティスタッフ 1 名の計 2 名の人員を任命します。
  6. 2024年12月10日、ICTセキュリティ維持計画の実現可能性を確認し、実施の実効性を確保することを目的としたICTセキュリティ管理検討会議が開催されました。