資通安全管理

一、資通安全風險管理架構

本公司為為確保自有及客戶夥伴之資訊資產安全，鑒於資訊安全風險評估，並保障本公司及利害關係人權益，強化各項資訊資產之安全管理，提升資料、系統、設備及網路安全，以確保本公司資訊處理之正確性，避免人員所使用之電腦軟體、硬體、週邊及網路系統遭受干擾、破壞、入侵之行為或企圖，訂定資通安全管理架構、策略及具體管理方案。

本公司由總經理指派資訊安全處長在公司內部統籌資通安全事宜會，由企業資訊安全組織制訂資通安全政策及管理方案，稽核單位監督及審查資通安全管理事項，以推動各部門資訊安全管理者推動資通安全措施

二、資通安全政策及管理方案

1. 公司內部設置資訊安全專責人員，負責處理資訊相關安全預防及危機處理，以防範電腦網路危機,維護資訊系統安全。
2. 將公司各部門切割網路網段，設定CISCO ACL確保個人電腦無法跨部門存取他人電腦，保障各部門個人電腦資料安全。
3. 跨公司之電腦網路系統，加強網路安全管理，對內安裝防毒軟體，設置對外網路防火牆，以防止電腦病毒、攻擊性之惡意軟體入侵，而造成公司網路系統癱瘓。
4. 個人電腦及網路系統伺服器，設定電腦病毒掃瞄工具，並且定期掃瞄電腦病毒與更新病毒碼。
5. 教育員工正確使用合法軟體之概念，增進員工認知電腦病毒的威脅，進一步提升員工資訊安全警覺。
6. 定期對公司人員及資訊設備進行安全評估，以確定其遵守公司資訊安全政策及相關規定。
7. 網路系統使用權限經權責主管審慎評估後，交付可信賴人員管理，防止非相關人員存取系統資訊。系統使用權限，依各業務範圍、權責分別設定使用者帳號及權限，並且不得私自交換使用，使用者一旦離開原職務，立即撤銷使用者之帳號及權限。系統使用者之帳號及密碼，避免使用容易被識破及猜測的密碼，並定期更改密碼。
8. 系統伺服器資料，每二日定期備份重要檔案及資料，以備不時之需，備份之資料以磁帶儲存備份，並放置於異地保險櫃。

三、投入之資源如下：

1. 網路硬體設備如防火牆、郵件防毒、網管型集線路等。
2. 軟體系統如備份管理軟體、VPN認證等。
3. 電信服務如多重線路、主機備份服務、入侵防護服務等。
4. 投入人力如: 每日各系統狀態檢查、每週定期備份及備份媒體異地存放之執行、每年至少兩次資安宣導教育課程、每年系統災難復原執行演練、每年對資訊循環之內部稽核、會計師稽核等。
5. 資安人力:設置資安主管及資安人員，負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂，資安主管每年向董事會至少報告一次。