公告

2025年 資安政策

強化資安防護能力,提升系統與網路作業環境安全。

  1. 勸募系統上班期間資訊服務可用率:
    扣除因系統維護得停止服務時間,全年服務可用率達98%以上
  2. 勸募系統AP主機發生異常次數:每年不得超過14件。
  3. 資通安全事件、事故時, 不得有未通報情形

多層次資安落實方案說明:

我們將資安措施分成 網路設備與資源伺服器儲存安全備份安全資料庫安全專案開發安全用戶端安全管理特權災難緊急應變措施 等層面。每個層面皆呼應先前提到的「六大防護」:

  1. 網路設備與資源: 對應「六大防護」中的 「網路入侵防護」「網站滲透測試」。 我們透過防火牆、入侵偵測系統(IDS/IPS)及定期滲透測試, 強化網路層安全。
  2. 伺服器儲存安全: 對應 「內部異常行為偵測」「委外與開發資安健檢」。 除加強系統日誌監控,也確保第三方或內部開發符合資安規範。
  3. 備份安全: 對應 「ISO27001資安驗證」「雙因認證與異地連線安全」。 確保備份資料異地存放、權限管控與檢測。
  4. 資料庫安全: 呼應 「網站滲透測試」「委外與開發資安健檢」, 從程式碼層面與 DB 層面落實 SQL Injection 防禦、權限最小化等。
  5. 專案開發安全: 對應 「委外與開發資安健檢」, 在專案開發全流程進行資安審核與程式碼檢測。
  6. 用戶端安全: 呼應 「網路入侵防護」「內部異常行為偵測」, 加強終端防毒、防惡意程式、防社交工程訓練等。
  7. 管理特權: 對應 「雙因認證與異地連線安全」, 透過多因子認證、權限分層與審計, 降低高權限帳號被盜用風險。
  8. 災難緊急應變措施: 呼應 「ISO27001資安驗證」 中的營運持續與災難復原規範, 確保在突發狀況時能迅速回復關鍵服務。

六大資安防護

網路入侵防護

發現異常行為或攻擊事件,進行阻擋防禦,建立防火巷

委外與開發資安健檢

委外與內部開發資安檢測,開發安全。

內部異常行為偵測

發現內部異常行為或內部攻擊事件,杜絕內部惡意行為

ISO27001資安驗證

提升慈濟品牌形象;遵守法規、確保營運持續;證明善盡管理責任,讓會員確信個資受保護;彰顯資安公信力,展現最佳實務。

網站滲透測試

以駭客思維及攻擊模式進行安全測試,藉此了解系統主機及程式存在漏洞,並提供修復及防禦建議。

雙因認證與異地連線安全

降低管理員帳號密碼遭竊風險,導致全資訊服務帳密淪陷,增加高權限帳號之安全性。



透過上述層面與「六大防護」的對應,可以看出本方案從網路、系統、應用到人員與災難應變 都進行了全面落實,確保資安風險降到最低。