資通安全管理
一、資通安全風險管理架構
本公司為為確保自有及客戶夥伴之資訊資產安全,鑒於資訊安全風險評估,並保障本公司及利害關係人權益,強化各項資訊資產之安全管理,提升資料、系統、設備及網路安全,以確保本公司資訊處理之正確性,避免人員所使用之電腦軟體、硬體、週邊及網路系統遭受干擾、破壞、入侵之行為或企圖,訂定資通安全管理架構、策略及具體管理方案。
本公司由總經理指派資訊安全處長在公司內部統籌資通安全事宜會,由企業資訊安全組織制訂資通安全政策及管理方案,稽核單位監督及審查資通安全管理事項,以推動各部門資訊安全管理者推動資通安全措施
二、資通安全政策及管理方案
- 公司內部設置資訊安全專責人員,負責處理資訊相關安全預防及危機處理,以防範電腦網路危機,維護資訊系統安全。
- 將公司各部門切割網路網段,設定CISCO ACL確保個人電腦無法跨部門存取他人電腦,保障各部門個人電腦資料安全。
- 跨公司之電腦網路系統,加強網路安全管理,對內安裝防毒軟體,設置對外網路防火牆,以防止電腦病毒、攻擊性之惡意軟體入侵,而造成公司網路系統癱瘓。
- 個人電腦及網路系統伺服器,設定電腦病毒掃瞄工具,並且定期掃瞄電腦病毒與更新病毒碼。
- 教育員工正確使用合法軟體之概念,增進員工認知電腦病毒的威脅,進一步提升員工資訊安全警覺。
- 定期對公司人員及資訊設備進行安全評估,以確定其遵守公司資訊安全政策及相關規定。
- 網路系統使用權限經權責主管審慎評估後,交付可信賴人員管理,防止非相關人員存取系統資訊。系統使用權限,依各業務範圍、權責分別設定使用者帳號及權限,並且不得私自交換使用,使用者一旦離開原職務,立即撤銷使用者之帳號及權限。系統使用者之帳號及密碼,避免使用容易被識破及猜測的密碼,並定期更改密碼。
- 系統伺服器資料,每二日定期備份重要檔案及資料,以備不時之需,備份之資料以磁帶儲存備份,並放置於異地保險櫃。
三、投入之資源如下:
- 網路硬體設備如防火牆、郵件防毒、網管型集線路等。
- 軟體系統如備份管理軟體、VPN認證等。
- 電信服務如多重線路、主機備份服務、入侵防護服務等。
- 投入人力如: 每日各系統狀態檢查、每週定期備份及備份媒體異地存放之執行、每年至少兩次資安宣導教育課程、每年系統災難復原執行演練、每年對資訊循環之內部稽核、會計師稽核等。
- 資安人力:設置資安主管及資安人員,負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂,資安主管每年向董事會至少報告一次。