- 首頁
- 永续经营
- 公司治理
- 资通安全政策及程序
资通安全政策及程序
组织架构
- 本公司资通安全之权责单位为信息部,该部设置信息主管乙名,与专业信息人员,负责订定内部资通安全政策、规划暨执行资通安全作业与资安政策推动与落实,并每年一次向高阶主管报告公司资通安全治理概况。
- 本公司稽核室为资通安全监理之督导单位,该室设置稽核主管乙名,与专职稽核人员,负责督导内部资安执行状况,若有查核发现缺失,旋即要求受查单位提出相关改善计划与具体作为,且定期追踪改善成效,以降低内部资安风险。
- 组织运作模式-采 PDCA(Plan-Do-Check-Act)循环式管理,确保可靠度目标之达成且持续改善。
资通安全政策及具体管理方案
为贯彻本公司各项资通管理制度能有效运作执行,强化资通安全管理,确保资通的可用性、完整性以及机密性,并免于遭受内、外部的蓄意或意外的威胁,以确保资通系统、设备网络之安全维运,达到永续经营目的。
管理措施说明如下:
一、计算机设备安全管理。
- 本公司计算机主机、各应用服务器等设备均设置于专用机房,机房之门禁须采用感应刷卡进出,且保留进出纪录存查。
- 机房内部备有独立空调,维持计算机设备于适当的温度环境下运转;并放置药剂式灭火器,可适用于一般或电器所引起的火灾。
- 机房主机配置不断电与稳压设备,避免台电意外瞬间断电造成系统当机,或确保临时停电时不会中断计算机应用系统的运作。
二、网络安全管理。
- 与外界网络联机的入口,配置企业级防火墙,阻挡黑客非法入侵。
- 配置上网行为管理与过滤设备,控管因特网的存取,可屏蔽访问有害或政策不允许的网络地址与内容,强化网络安全并防止带宽资源被不当占用。
三、病毒防护与管理。
- 服务器与同仁终端计算机设备内均安装有端点防护软件,病毒特征采自动更新方式,确保能阻挡最新型的病毒,同时可侦测、防止具有潜在威胁性的系统执行文件之安装行为。
- 电子邮件服务器配置有邮件防毒、与垃圾邮件过滤机制,防堵病毒或垃圾邮件进入用户端的信息设备。
四、系统访问控制。
- 同仁对各应用系统的使用,透过公司内部规定的系统权限申请程序,经权责主管核准后,由信息部建立系统账号,并经各系统管理员依所申请的功能权限做授权方得存取。
- 同仁办理离(休)职手续时,必须会办信息部,进行各系统账号的删除作业。
五、确保系统的永续运作。
- 系统备份:建置备份管理系统,采取日备份机制,备份媒体共有两份,一份保留于机房,另一份备份媒体存放于异地。
- 灾害复原演练:各系统每年实施一次演练,选定还原日期基准点后,由备份媒体回存于系统主机,再由使用单位书面确认回复数据的正确性,确保备份媒体的正确性与有效性。
六、资安倡导与教育训练。
- 所有新进同仁,皆须完成资通安全与保护教育顺练课程。
- 定期倡导,每季要求同仁定期更换系统密码,以维持账号安全。
- 讲座倡导,不定期对内部同仁实施资通安全相关的教育顺练倡导
- 加入「台湾计算机网络危机处理暨协调中心 TWCERT/CC」会员,取得资通案件咨询管道,以及收集资安情资,提供内部倡导。
本公司实施之资通安全管理措施,包含如下:
投入资通安全管理之资源
为实践六大项资通安全政策,投入之资源如下:
一、网络硬设备。
- 次世代防火墙:具备上网行为分析。
- 网管型交换器。
二、软件系统。
- 服务器端点防护系统。
- 用户端点防护系统。
- 备份管理软件。
- 邮件防毒。
- 垃圾邮件过滤。
- VPN认证。
三、电信服务。
- 入侵防护服务。
- DDOS防护服务。
四、投入人力。
- 每日各系统状态检查。
- 每周定期备份及备份媒体异地存放之执行。
- 每年至少两次资通倡导教育课程。
- 每年系统灾难复原执行演练。
- 每年对信息循环之内部稽核、会计师稽核。
2023 年企业信息安全措施推动执行成果
资安事件通报程序
本公司信息安全通报程序如下,资安事件之通报与处理,皆遵守该程序之规范进行。