資通安全管理
- 首頁
- 公司治理
- 資通安全管理
為強化資安防護及管理,本公司已設置資安主管及資安人員,並於內部控制制度中增加資訊安全專責單位之功能及職責。
一、資訊安全管理-架構
- 資訊安全權責單位為資訊室,負責制定資訊安全政策,定期檢視及修訂作業規範以符合資安標準。
- 稽核室將資訊管理作業循環納入年度稽核計畫。
- 採用PDCA方式管理,確保目標達成且持續改善。
二、資訊安全管理-政策
- 制度規範:訂定資訊安全管理制度,規範員工作業行為。
- 流程管理:遵循內控之資訊處理作業循環,落實資訊安全流程管理。
- 資安監控:防火牆阻擋網路惡意攻擊並監控內部及外部異常活動,建立嚴密資安屏障。
- 人員訓練:不定時於EIP(企業員工入口網站)電子佈告欄張貼資訊安全教育宣導,另於新進人員教育訓練中加強資訊安全教育。
三、資訊安全管理-措施
| 項目 | 具體管理方式 |
|---|---|
| 防火牆防護 | • 防火牆設定安全管理與控制程序。 • 如有特殊連線需求需額外申請開放。 • 監控分析防火牆數據報告。 |
| 使用者上網控管機制 | • 封鎖FB、遊戲網站、點對點或持續性檔案傳輸型態網站。 |
| 防毒軟體 | • 伺服器與電腦用戶端均安裝有主從式架構的防毒軟體,病毒碼採自動更新方式。 |
| 應用系統權限管理 | • 依使用者帳號,設定存取系統的權限。 |
| 郵件安全管控 | • 郵件伺服器設置有郵件防毒、垃圾郵件過濾、偵測不當郵件行為,以防止惡意郵件造成不可預期的危害。 |
| 網站防護機制 | • 網站備有防火牆裝置阻擋外部網路攻擊。 |
| 資料備份機制 | • 伺服器及資料庫皆設定完整備份、每天進行差異備份。 |
| 電腦機房設備管理 | • 伺服器置於專用機房,門禁限制人員進出且保留出入紀錄。 • 機房採獨立空調並放置乾式滅火器。 • 所有伺服器連接UPS,避免停電或異常斷電對伺服器之傷害。 |
| 重要檔案上傳伺服器 | • 公司內各部門重要檔案上傳NAS存放,由資訊部門統一備份保存。 |
| 資訊安全自主檢查表 | • 資訊室每季主動實施安全檢查,完成自我評審作業。 |
| 資通安全風險評估與改善 | • 資訊室每年針對資訊及資通系統進行資通安全風險評估,如為高風險時應進行風險改善計劃。 |
四、資訊安全教育訓練與資源投人
本公司持續投入資訊安全相關資源,透過定期規劃與辦理資訊安全教育訓練,強化全體員工之資安意識與防護能力,並提升對資訊安全風險之辨識與因應能力。
藉由召開資訊安全相關會議,落實資訊安全治理、風險管理及相關法令遵循,以有效降低資訊安全事件對公司營運及資訊資產所可能造成之影響。
本公司已設置資安主管 1 名及資安人員 1 名。114 年度共召開資訊安全相關會議計 5 場次,並辦理員工資訊安全教育訓練 4 場次,累計參訓人次達 321 人次,展現本公司持續深化資訊安全管理與教育推動之目標。
五、資訊安全管理與風險控管措施
- 依據本公司資訊安全事件通報與處理流程,於發生資訊安全異常或疑似事件時,即時通報相關權責單位,並迅速採取必要之應變及處理措施,以降低事件影響範圍與損害程度。
- 定期檢視作業系統、應用系統及網路設備之安全弱點,並依風險評估結果規劃修補與改善時程,持續降低潛在資訊安全風險。
- 落實帳號與密碼管理規範,包括密碼強度要求、定期變更機制,以及停用離職或職務異動人員之帳號,以防止未經授權之存取行為。
- 針對重要及敏感資料,依其性質與重要性進行分級管理與存取控管,確保資訊使用之合法性、安全性及完整性。
