本公司资通安全风险管理架构、资通安全政策、具体管理方案及投入资通安全管理之资源情形:
组织架构
为强化公司的资讯安全管理,确保资料、系统及网路安全,责成管理部设有资讯安全主管 1 人及资安人员 1 人负责执行资讯安全系统建置,包含网路管理与系统管理。同时持续检视评估资讯环境变化趋势,评估资讯安全风险与防护,以确保内部资安管理机制持续有效运作。
资讯安全稽核负责督导内部资讯安全执行状况,若有查核发现缺失,即要求受查单位提出相关改善计画与具体措施,且定期持续追踪改善成效,以降低内部资讯安全风险。
资讯安全运作模式
资讯安全政策
资讯安全目标
建立安全及可信赖之电脑化作业环境,确保公司资讯资产 (软体、硬体、电脑资料、资讯环境、人员) 之机密性、完整性及可用性,避免遭受来自内、外部的各种威胁损害,使公司资讯系统永续运作。
资讯安全范围
● 人员管理及资讯安全教育训练。
● 电脑资讯系统安全管理。
● 网路安全管理。
● 系统存取管制。
● 资讯资产安全管理。
● 实体及环境安全管理。
● 资讯安全稽核。
资讯安全的原则与标准
● 定期办理资讯安全教育训练及宣导,包括资讯安全政策、法令规定、资讯安全作业程序与如何正确使用资讯科技设施等。促使员工了解资讯安全的重要性与各种安全风险, 提高员工资讯安全意识,并遵守资讯安全规定。
● 为预防资讯系统及档案受电脑病毒感染,对电脑病毒、入侵及恶意攻击,建立主动病毒侦测、主动式入侵侦测及防范措施,以确保电脑资料安全之要求。
● 为预防天灾或人为之重大事件,造成重要资讯资产、关键性业务或通讯系统等中断, 应建立资讯系统回复之措施。
员工应遵守之相关规定
● 管理部资讯人员依资讯权限申请单建立 "使用者帐号"。
● 电脑资料及设备,不得任意破坏、携出、外借与不正当修改,以维护资料完整性。
● 禁止使用无版权软体与来路不明软体。
● 作业结束或长时间不使用机器时,应退出机器,以免资料机密外泄或遭他人破坏。
● 电脑设备之摆放,应远离茶水、咖啡、日晒或潮湿地点,并保持设备整洁与线路梳理以延长其寿命。
● 离职或新旧职务交接时,由管理部资讯人员衡量资料与权限相关性作适当处置。
● 电脑设备无法正常作业时,使用者应立即通知管理部资讯人员,进行检查与维修。
资讯安全政策修正
● 资讯环境发生重大改变与趋势变化时,重新检视资讯安全政策。
● 每年定期重新检视资讯安全政策,确认相关规范是否符合需求。
具体管理方案
本公司资讯安全相关管理方案如下:
| 項目 | 管理方案 |
|---|---|
| 防火墙防护 | 防火墙设定连线规则。 有特殊连线需求需额外申请开放。 设定黑名单网站清单,禁止连线游戏网站。 |
| 防毒软体 | 使用防毒软体,并自动更新病毒码,降低病毒感染机会。 |
| 邮件安全管控 | 自动邮件扫描威胁防护,事先防范不安全的附件档案、钓鱼邮件与垃圾邮件,并扩大防止恶意连结的保护范围。 自动备份每封寄件与收件邮件。 |
| 资料备份机制 | 重要资讯系统、资料库与档案伺服器设定每日备份。 备份资料,一律进行异地存放。 |
| 人力资源安全管理 | 定期进行资讯安全宣导。 |
| 资安事件通报 | 依事件等级依序回报主管单位。 详实记录事件发生过程与数据,后续进行检讨改善。 |
| 档案上传伺服器 | 使用者重要档案一律存放于伺服器,由管理部统一备份保存。 |