- 首頁
- 永續經營
- 公司治理
- 資通安全政策及程序
資通安全政策及程序
組織架構
- 本公司資通安全之權責單位為資訊部,該部設置資訊主管乙名,與專業資訊人員,負責訂定內部資通安全政策、規劃暨執行資通安全作業與資安政策推動與落實,並每年一次向高階主管報告公司資通安全治理概況。
- 本公司稽核室為資通安全監理之督導單位,該室設置稽核主管乙名,與專職稽核人員,負責督導內部資安執行狀況,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
- 組織運作模式-採 PDCA(Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善。
資通安全政策及具體管理方案
為貫徹本公司各項資通管理制度能有效運作執行,強化資通安全管理,確保資通的可用性、完整性以及機密性,並免於遭受內、外部的蓄意或意外的威脅,以確保資通系統、設備網路之安全維運,達到永續經營目的。
管理措施說明如下:
一、電腦設備安全管理。
- 本公司電腦主機、各應用伺服器等設備均設置於專用機房,機房之門禁須採用感應刷卡進出,且保留進出紀錄存查。
- 機房內部備有獨立空調,維持電腦設備於適當的溫度環境下運轉;並放置藥劑式滅火器,可適用於一般或電器所引起的火災。
- 機房主機配置不斷電與穩壓設備,避免台電意外瞬間斷電造成系統當機,或確保臨時停電時不會中斷電腦應用系統的運作。
二、網路安全管理。
- 與外界網路連線的入口,配置企業級防火牆,阻擋駭客非法入侵。
- 配置上網行為管理與過濾設備,控管網際網路的存取,可屏蔽訪問有害或政策不允許的網路位址與內容,強化網路安全並防止頻寬資源被不當占用。
三、病毒防護與管理。
- 伺服器與同仁終端電腦設備內均安裝有端點防護軟體,病毒碼採自動更新方式,確保能阻擋最新型的病毒,同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為。
- 電子郵件伺服器配置有郵件防毒、與垃圾郵件過濾機制,防堵病毒或垃圾郵件進入使用者端的資訊設備。
四、系統存取控制。
- 同仁對各應用系統的使用,透過公司內部規定的系統權限申請程序,經權責主管核准後,由資訊部建立系統帳號,並經各系統管理員依所申請的功能權限做授權方得存取。
- 同仁辦理離(休)職手續時,必須會辦資訊部,進行各系統帳號的刪除作業。
五、確保系統的永續運作。
- 系統備份:建置備份管理系統,採取日備份機制,備份媒體共有兩份,一份保留於機房,另一份備份媒體存放於異地。
- 災害復原演練:各系統每年實施一次演練,選定還原日期基準點後,由備份媒體回存於系統主機,再由使用單位書面確認回復資料的正確性,確保備份媒體的正確性與有效性。
六、資安宣導與教育訓練。
- 所有新進同仁,皆須完成資通安全與保護教育順練課程。
- 定期宣導,每季要求同仁定期更換系統密碼,以維持帳號安全。
- 講座宣導,不定期對內部同仁實施資通安全相關的教育順練宣導
- 加入「台灣電腦網路危機處理暨協調中心 TWCERT/CC」會員,取得資通案件諮詢管道,以及收集資安情資,提供內部宣導。
本公司實施之資通安全管理措施,包含如下:
投入資通安全管理之資源
為實踐六大項資通安全政策,投入之資源如下:
一、網路硬體設備。
- 次世代防火牆:具備上網行為分析。
- 網管型交換器。
二、軟體系統。
- 伺服器端點防護系統。
- 使用者端點防護系統。
- 備份管理軟體。
- 郵件防毒。
- 垃圾郵件過濾。
- VPN認證。
三、電信服務。
- 入侵防護服務。
- DDOS防護服務。
四、投入人力。
- 每日各系統狀態檢查。
- 每週定期備份及備份媒體異地存放之執行。
- 每年不定期資通宣導教育課程。
- 每年系統災難復原執行演練。
- 每年對資訊循環之內部稽核、會計師稽核。
民國 112 年企業資訊安全措施推動執行成果
資安事件通報程序
本公司資訊安全通報程序如下,資安事件之通報與處理,皆遵守該程序之規範進行。