資訊安全管理
一、 資訊安全風險管理架構
經本公司權責單位評估,資訊安全風險雖非屬於本公司重大營運風險項目,但隨著網路環境漸趨複雜,相關風險可能逐年增高,本公司已建置資訊安全管理架構,由權責單位負責制定資訊安全管理政策,擬定並執行資訊安全具體管理方案,加上稽核單位,進行管理制度內部查核、資訊安全預防及危機處理等監控作業,持續精進內部異常偵測與防護方法,以降低企業資安風險。
二、 資訊安全政策
(1) 定期舉辦教育訓練,強化員工資安常識。
(2) 定期檢視關鍵性資訊設備及災難復原計劃演練,以確保公司業務持續運作。
(3) 定期檢視系统日誌記錄,觀察分析相關設備的安全風險並予以修正與強化。
三、資訊安全具體管理方案及投入資通安全管理之資源
本公司考量資安險仍屬新興險種,目前尚無適合本公司之資安險,故現階段以本公司既有的資訊安全管理程序
來落實資訊安全風險管理。
相關具體執行措施如下:
(1) 網路安全管理:配置企業級防火牆與相關設備,阻擋非法惡意連線入侵。
(2) 系統存取控制:公司內各應用系統的使用,需透過資訊服務需求申請程序,經權責主管核准後,經過管理員
依所申請之功能開放權限,方得使用。帳號的密碼設置,需符合一定規則強度,才能通過。
(3) 落實資安訓練:新進人員教育訓練中進行資安課程,並於入職後日常持續作為。
(4) 病毒防護與管理:伺服器與同仁電腦設備皆持續更新系統並安裝相關防護軟體並採自動更新,
確保能防護系統不受惡意程式之攻擊。
(5) 系統可用性:建置備份流程,定期備份相關資料。
(6) 電腦設備安全管理:本公司電腦主機、應用伺服器等皆設置於專用機房,機房採門禁管制進出,
且保留記錄存查。資訊機房內有獨立空調及不斷電系統,以維持電腦設備於
適合的溫度下運轉,斷電時不會中斷電腦應用系統的運作。