資訊安全政策
資訊安全風險管理架構
本公司資訊安全之權責單位為資訊處,該處設置資訊主管一名,資訊人員依據專業分工,分別有資訊工程師三名、專案副理二名,負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實。
稽核室依據「公開發行公司建立內部控制制度處理準則」規定,將「資通安全檢查之控制」納入年度稽核計劃,並依所排定期程進行查核作業,若有發現缺失/風險,即請受查單位及協同作業單位進行檢討,提出具體改善計劃及時程,定期追蹤改善進度,以落實公司資訊安全政策。
本公司資訊安全運作模式採用 PDCA(Plan-Do-Check-Act)方式管理,確保目標達成且持續改善。
資訊安全政策
本公司資訊安全管理機制,包含以下三個面向:
(一)制度規範:訂定公司資訊安全管理制度,規範人員作業行為。
(二)硬體建置:建置資訊安全防護系統,監控資安異常通知。
(三)人員訓練:定期進行資訊安全教育訓練,以提昇全體同仁資安意識。
資訊安全管理措施:
制度規範:本公司內部訂定相關資訊安全規範與制度,以規範本公司人員資訊安全行為,每年定期檢視相關制度是否符合法規與營運環境變遷,並依需求適時調整。
硬體建置:本公司為防範各種外部資安威脅,除採多層式網路架構設計外,更建置各式資安防護系統,以提昇整體資訊環境之安全性。
人員訓練:本公司定期開設資訊安全教育訓練課程,且新進人員為資訊必要訓練的課程內容,且另提供資訊安全課程線上學習平台,可隨時瞭解資訊安全相關政策及觀念。
本公司目前資訊安全相關具體執行措施如下:
| 項目 | 具體管理方式 |
| 防火牆防護 | l 防火牆設定連線規則。
l 如有特殊連線需求需額外申請開放。 l 監控分析防火牆數據報告。 |
| 防毒端點防護 | l 使用防毒軟體+端點防護。 |
| 郵件安全防護 | l 有自動郵件掃描威脅防護,在使用者接收郵件之前,事先防範不安全的附件檔案、釣魚郵件、垃圾郵件,及擴大防止惡意連結的保護範圍。
l 防毒軟體及端點防護系統也會掃描個人電腦中的郵件是否包含不安全的內容。 |
| 網站傳輸防護 | l 網站傳輸加入安全協定,通訊過程使用 SSL/TLS 進行加密 |
| 作業系統更新 | l 作業系統自動更新,因故未更新者,由資訊部協助更新。 |
| 重要檔案上傳伺服器 | l 公司內各部門重要檔案統一存放於檔案伺服器,並由資訊部管理備份保存。 |
| 資料備份機制 | l 重要資訊系統、資料庫皆設定每日完整備份。
l 伺服器與各資訊系統環境、資料庫備份檔,同步存放於雲端備份平台(異地)。 |
| 資訊檢查紀錄表 | l 機房溫溼度記錄表、不斷電系統電壓監控線上記錄檢查
l 防毒軟體、端點防設、防火牆警示記錄檢視 |
資安事件通報程序
本公司資通安全通報程序如下,資安事故之通報與處理,皆遵守該程序之規範進行。
