資通安全管理
本公司資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源情形:
組織架構
為強化公司的資訊安全管理,確保資料、系統及網路安全,責成管理部設有資訊安全主管1人及資安人員1人負責執行資訊安全系統建置,包含網路管理與系統管理。同時持續檢視評估資訊環境變化趨勢,評估資訊安全風險與防護,以確保內部資安管理機制持續有效運作。
資訊安全稽核負責督導內部資訊安全執行狀況,若有查核發現缺失,即要求受查單位提出相關改善計畫與具體措施,且定期持續追蹤改善成效,以降低內部資訊安全風險。
資訊安全運作模式
資訊安全政策
資訊安全目標
建立安全及可信賴之電腦化作業環境,確保公司資訊資產(軟體、硬體、電腦資料、資訊環境、人員)之機密性、完整性及可用性,避免遭受來自內、外部的各種威脅損害,使公司資訊系統永續運作。
資訊安全範圍
● 人員管理及資訊安全教育訓練。
● 電腦資訊系統安全管理。
● 網路安全管理。
● 系統存取管制。
● 資訊資產安全管理。
● 實體及環境安全管理。
● 資訊安全稽核。
資訊安全的原則與標準
● 定期辦理資訊安全教育訓練及宣導,包括資訊安全政策、法令規定、資訊安全作業程序與如何正確使用資訊科技設施等。促使員工瞭解資訊安全的重要性與各種安全風險, 提高員工資訊安全意識,並遵守資訊安全規定。
● 為預防資訊系統及檔案受電腦病毒感染,對電腦病毒、入侵及惡意攻擊,建立主動病毒偵測、主動式入侵偵測及防範措施,以確保電腦資料安全之要求。
● 為預防天災或人為之重大事件,造成重要資訊資產、關鍵性業務或通訊系統等中斷, 應建立資訊系統回復之措施。
員工應遵守之相關規定
● 管理部資訊人員依資訊權限申請單建立 "使用者帳號"。
● 電腦資料及設備,不得任意破壞、攜出、外借與不正當修改,以維護資料完整性。
● 禁止使用無版權軟體與來路不明軟體。
● 作業結束或長時間不使用機器時,應退出機器,以免資料機密外洩或遭他人破壞。
● 電腦設備之擺放,應遠離茶水、咖啡、日曬或潮溼地點,並保持設備整潔與線路梳理以延長其壽命。
● 離職或新舊職務交接時,由管理部資訊人員衡量資料與權限相關性作適當處置。
● 電腦設備無法正常作業時,使用者應立即通知管理部資訊人員,進行檢查與維修。
資訊安全政策修正
● 資訊環境發生重大改變與趨勢變化時,重新檢視資訊安全政策。
● 每年定期重新檢視資訊安全政策,確認相關規範是否符合需求。
具體管理方案
本公司資訊安全相關管理方案如下:
| 項目 | 管理方案 |
|---|---|
| 防火牆防護 | 防火牆設定連線規則。 有特殊連線需求需額外申請開放。 設定黑名單網站清單,禁止連線遊戲網站。 |
| 防毒軟體 | 使用防毒軟體,並自動更新病毒碼,降低病毒感染機會。 |
| 郵件安全管控 | 自動郵件掃描威脅防護,事先防範不安全的附件檔案、釣魚郵件與垃圾郵件,並擴大防止惡意連結的保護範圍。 自動備份每封寄件與收件郵件。 |
| 資料備份機制 | 重要資訊系統、資料庫與檔案伺服器設定每日備份。 備份資料,一律進行異地存放。 |
| 人力資源安全管理 | 定期進行資訊安全宣導。 |
| 資安事件通報 | 依事件等級依序回報主管單位。 詳實記錄事件發生過程與數據,後續進行檢討改善。 |
| 檔案上傳伺服器 | 使用者重要檔案一律存放於伺服器,由管理部統一備份保存。 |