資訊安全風險管理

  • 首頁
  • 公司治理
  • 資訊安全風險管理



資訊安全風險管理架構

  1. 本公司資訊安全之權責單位為資訊室,負責訂定公司資訊安全政策、資訊安全管理及資訊安全推動與落實。
  2. 稽核室依據「公開發行公司建立內部控制制度處理準則」規定,將「資訊管理作業循環」納入年度稽核計劃,並依所排定期程進行查核作業,若有發現缺失/風險,即請受查單位及協同作業單位進行檢討,提出具體改善計劃及時程,定期追蹤改善進度,以落實公司資訊安全政策。
  3. 本公司資訊安全運作模式採用 PDCA(Plan-Do-Check-Act)方式管理,確保目標達成且持續改善。
 


資訊安全管理機制
本公司資訊安全管理機制,包含以下三個部份:

  1. 制度規範:訂定公司資訊安全管理制度,規範人員作業行為。
  2. 硬體建置:建置資訊安全管理系統,落實資安管理措施。
  3. 人員訓練:定期進行資訊安全教育訓練,以提昇全體同仁資安意識。

資訊安全管理措施
 
項目 具體管理方式
制度規範 • 訂定資訊安全規範與制度,以規範公司同仁資安行為。
• 定期檢視相關制度,依需求適時調整。
防火牆防護 • 防火牆設定安全管理與控制程序。
• 如有特殊連線需求需額外申請開放。
• 監控分析防火牆數據報告。
使用者上網控管機制 • 封鎖FB、遊戲網站、點對點或持續性檔案傳輸型態網站。
防毒軟體 • 伺服器與電腦用戶端均安裝有主從式架構的防毒軟體,病毒碼採自動更新方式。
應用系統權限管理 • 依使用者帳號,設定存取系統的權限。
郵件安全管控 • 郵件伺服器設置有郵件防毒、垃圾郵件過濾、偵測不當郵件行為,以防止惡意郵件造成不可預期的危害。
網站防護機制 • 網站備有防火牆裝置阻擋外部網路攻擊。
資料備份機制 • 伺服器及資料庫皆設定完整備份、每天進行差異備份。
電腦機房設備管理 • 伺服器置於專用機房,門禁限制人員進出且保留出入紀錄。
• 機房採獨立空調並放置乾式減火器。
• 所有伺服器連接UPS,避免停電或異常斷電對伺服器之傷害。
重要檔案上傳伺服器 • 公司內各部門重要檔案上傳NAS存放,由資訊部統一備份保存。
資訊安全自主檢查表 • 資訊室每季主動實施安全檢查,完成自我評審作業。