- 首頁
- 永续经营
- 公司治理
- 资通安全政策及程序
资通安全政策及程序
组织架构
- 本公司资通安全之权责单位为信息部,该部设置信息主管乙名,与专业信息人员,负责订定内部资通安全政策、规划暨执行资通安全作业与资安政策推动与落实,并每年一次向高阶主管报告公司资通安全治理概况。
- 本公司稽核室为资通安全监理之督导单位,该室设置稽核主管乙名,与专职稽核人员,负责督导内部资安执行状况,若有查核发现缺失,旋即要求受查单位提出相关改善计划与具体作为,且定期追踪改善成效,以降低内部资安风险。
- 组织运作模式-采 PDCA(Plan-Do-Check-Act)循环式管理,确保可靠度目标之达成且持续改善。
资通安全政策及具体管理方案
为贯彻本公司各项资通管理制度能有效运作执行,强化资通安全管理,确保资通的可用性、完整性以及机密性,并免于遭受内、外部的蓄意或意外的威胁,以确保资通系统、设备网络之安全维运,达到永续经营目的。
管理措施说明如下:
一、计算机设备安全管理。
- 本公司计算机主机、各应用服务器等设备均设置于专用机房,机房之门禁须采用感应刷卡进出,且保留进出纪录存查。
- 机房内部备有独立空调,维持计算机设备于适当的温度环境下运转;并放置药剂式灭火器,可适用于一般或电器所引起的火灾。
- 机房主机配置不断电与稳压设备,避免台电意外瞬间断电造成系统当机,或确保临时停电时不会中断计算机应用系统的运作。
二、网络安全管理。
- 配置企业级防火墙防止非法入侵、破坏或窃取数据,以避免网站遭到非法使用。
- 监控网络流量并阻隔恶意网络行为, 强化网络安全并防止带宽资源被不当占用。
- 建立信息安全事件监控、通报与应变处理机制,以利事件发生时,可在最短时间内回复运作,降低损害。
三、病毒防护与管理。
- 服务器与同仁终端计算机设备内均安装有端点防护软件,病毒特征采自动更新方式,确保能阻挡最新型的病毒,同时可侦测、防止具有潜在威胁性的系统执行文件之安装行为。
- 服务器与同仁终端计算机设备进行弱点检测,找出系统中所存在的弱点项目并及时修补。
- 电子邮件服务器配置有邮件防毒、与垃圾邮件过滤机制,防堵病毒或垃圾邮件进入用户端的信息设备。
四、系统访问控制。
- 同仁对各应用系统的使用,透过公司内部规定的系统权限申请程序,经权责主管核准后,由信息部建立系统账号,并经各系统管理员依所申请的功能权限做授权方得存取。
- 同仁办理离(休)职手续时,必须会办信息部,进行各系统账号的删除作业。
五、确保系统的永续运作。
- 系统备份:建置备份管理系统,采取日备份机制,备份媒体共有两份,一份保留于机房,另一份备份媒体存放于异地。
- 灾害复原演练:各系统每年实施一次演练,选定还原日期基准点后,由备份媒体回存于系统主机,再由使用单位书面确认回复数据的正确性,确保备份媒体的正确性与有效性。
六、资安倡导与教育训练。
- 所有新进同仁,皆须完成资通安全与保护教育顺练课程。
- 每季要求同仁定期更换系统密码,以维账号安全。
- 讲座倡导,不定期对内部同仁实施资通安全相关的教育顺练倡导
- 加入「台湾计算机网络危机处理暨协调中心 TWCERT/CC」会员,取得资通案件咨询管道,以及收集资安情资,提供内部倡导。
本公司实施之资通安全管理措施,包含如下:
投入资通安全管理之资源
为实践六大项资通安全政策,投入之资源如下:
一、网络硬设备。
- 次世代防火墙:具备上网行为分析。
- 网管型交换器。
二、软件系统。
- 服务器EDR端点防护系统。
- 用户端点防护系统。
- 备份管理软件。
- 邮件防毒。
- 垃圾邮件过滤。
- VPN认证。
- 弱点扫描软件。
三、电信服务。
- 中华电信资安舰队服务
- 入侵防护服务。
- DDOS防护服务。
四、投入人力。
- 每日各系统状态检查。
- 每周定期备份及备份媒体异地存放之执行。
- 每年不定期资安倡导教育课程。
- 每年系统灾难复原执行演练。
- 每年对信息循环之内部稽核、会计师稽核。
2024 年企业信息安全措施推动执行成果
- 设置资通安全人员:2名。
- 授权支出及设备投入共计35万元。。
- 信息安全暨个人资料管理委员会召开1次会议。
- 所有新进人员完成资安认知基础教育课程。
- 新增与修订资通管理程序及窗体:10项。
- 修订资通事件通报机制及应变演練。
- 办理资通内部稽核:1次。
- 办理资通外部稽核:1次。
- 倡导信息保护与信息安全重要规定与注意事项:2次。
- 办理年度教育训练:1次。
- 最近年因重大资通安全事件所遭受之损失、可能影响及因应措施,如无法合理估计者,应说明其无法合理估计之事实:本公司2024年度未发生重大资通安全事件,但仍秉持着防范未然之心态持续编列适当的预算强化信息技术安全,以降低公司被恶意软件攻击的风险。
资安事件通报程序
本公司信息安全通报程序如下,资安事件之通报与处理,皆遵守该程序之规范进行。