資訊安全政策及管理方案
1. 資訊安全政策
本公司為有效運作執行各項資訊管理制度,維護重要資訊系統的機密性、完整性、可用性,以 確保資訊系統之安全維運,因此本公司資訊安全政策包含以下三個面向:1.1 制度規範: 訂定「資訊作業管理辦法,以規範本公司人員資訊安全行為,並依需求適時調整。
1.2 資安防護系統建置: 為防範各種外部資安威脅,建置資訊安全管理設備,以提昇資訊環境之安全性。
1.3 人員資安意識訓練: 為降低人為因素對資訊安全之影響,定期實施資訊安全教育訓練及宣導,以提昇全體同 仁對資訊安全之認知及意識。
2. 資訊安全風險管理架構
2.1 本公司資訊安全之權責單位為資訊部,該部設置資訊主管與專業資訊人員,負責訂定內部 資訊安全政策規劃、執行資訊安全事項及資安政策推動與落實。2.2 本公司每年接受內、外部稽核,若查核發現缺失立即排定改善計畫,並追蹤改善成效,降 低內部資安風險。
2.3 本公司組織運作模式-採循環式管理,確保可靠度目標之達成,且持續改善資訊安全。
3. 資訊安全具體管理方案
3.1 本公司目前資訊安全相關具體執行措施如下:| 項目 | 具體管理方式 |
| 系統權限管理 | 各系統之人員帳號權限管理與審核。 |
| 防火牆防護 | 防火牆設定連線規則、如有特殊連線需求需額外申請開放。 監控分析防火牆數據報告。 |
| 防毒機制 | 個人電腦均安裝防毒軟體,並自動更新病毒碼,降低病毒感染機會。 自動過濾上網可能連結到有木馬病毒、勒索病毒或惡意程式的網站。 |
| 作業系統更新 | 作業系統自動更新,因故未更新者,由資訊部協助更新。 |
| 郵件安全管控 | 郵件伺服器具有自動郵件掃描威脅防護及防毒機制,在使用者讀取郵件 之前,防範不安全的附件檔案、釣魚郵件、垃圾郵件,及擴大防止惡意 連結的保護範圍。 |
| 無線網路使用安全 | 無線網路區分外部訪客及內部員工使用,提供外部訪客使用之無線網 路,僅提供上網使用,無法連接公司內部裝置或系統。 |
| 遠端連線存取系統 | 建置加密 SSL VPN 提供外部員工,遠端連線存取公司內部系統。 |
| 合法軟體使用 | 個人電腦安裝之應用工具軟體,均合法取得相關授權,資訊部不定期作 清查,並刪除非法取得或授權不足之相關軟體。 |
| 網站防護機制 | 網站有防火牆設備裝置阻擋外部網路攻擊。 |
| 資料備份機制 | 重要資訊系統及資料庫皆設定每日完整備份、每月完整備份。 |
| 異地存放 | 伺服器與各項資訊系統之備份檔,分開存放於公司之外。 |
| 檔案伺服器 | 公司內各部門重要檔案上傳檔案伺服器存放,由資訊部統一備份保存。 |
| 備份還原演練 | 重大系統定期備份之資料庫,每月進行資料庫復原演練。 |
| 機房管制 | 機房設置門禁管制,控管人員進出。 |
| 資訊部檢查紀錄表 | 資訊部檢查紀錄表紀錄機房溫溼度、資料備份記錄、資料庫還原記錄、 各系統檢測等記錄。 |
| 資訊安全宣導 | 不定時宣導資訊安全議題內容,以提升同仁之基本資安防衛能力及良好 的資訊安全意識。 |
3.2 資安事件通報程序
本公司資通安全通報程序如下,資安事故之通報與處理,皆遵守該程序之規範進行 。
