公司治理
資通安全
資通安全
資通安全風險評估分析說明:本公司有訂定資訊安全管理辦法,以茲全體員工遵循,並建立資訊安全管理方案,包含電子郵件管理控制、網路防火牆設置、防毒軟體設置、系統程式資料存取控制及網際網路入侵防護等,本公司相關單位依其職掌業務範疇進行內部控制與風險督導管理。
資通安全風險管理架構
1.本公司資通安全之權責單位為資訊部,負責訂定資安政策、建立資通安全管理方案,規劃暨執行資通安全作業。
2.本公司稽核室為資通安全監理之督導單位,負責督導內部資安執行狀況,若有查核發現缺失,即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
3.組織運作模式採PDCA(Plan-Do-Check-Action)循環式管理,確保目標之達成且持續改善。
資通安全政策
| 資安策略 | ||
|---|---|---|
| 資安治理 | *精進管理制度 *掌控風險及強化防範 | 持訊精進管理制度,包含教育訓練及資訊安全基礎架構設計,並強化保護技術。 |
| 法令依循 | *建立符合法規機制 *定期檢視/修訂 | 建立符合法規機制,定期檢視相關法規及修訂內部作業規範以符合國際資安標準及當地法令。 |
| 科技應用 | *內外部資料收集 *運用數據分析 *預測威脅及決策 | 收集內外部資料,並運用大數據分析技術,預測資訊安全風險並及早做出防範決策。 |
資通安全管理方案
本公司訂定資訊安全管理辦法,以茲全體員工遵循,並建立資訊安全管理方案,包含電子郵件管理控制、網路防火牆設置、防毒軟體設置、系統程式資料存取控制及網際網路入侵防護等,且定期覆核各項網路服務、資訊系統之System Log,追蹤異常之資料存取;並依據員工職能分別賦予不同存取權限,隨時宣導資訊安全資訊,提升員工資安意識;每年定期執行內部稽核、會計師資訊查核、ISO資訊稽核,強化資通安全之管理;並加入台灣CERT/CSIRT聯盟,接收重大情資分享以了解目前最新趨勢。
| 項目 | 具體作法 |
|---|---|
| 電子郵件管理控制 | 公司設有垃圾郵件篩選及隔離機制,以防止收到夾帶病毒之電子郵件。 |
| 網路防火牆設置 | 公司設有網路防火牆,以防止同仁瀏覽網頁時受到惡意病毒程式之攻擊。 |
| 防毒軟體設置 | 公司同仁的電腦皆安裝防毒軟體,執行安全性掃毒,並防範病毒攻擊。 |
| 系統程式資料存取控制 | 公司系統程式資料皆有定期備份及加密,並管控同仁對於重要資料之存取。 |
| 網際網路入侵防護服務 | 1. ISP端建置高效能、穩定、持續更新的IPS設備,由ISP專業資安人力負責防禦設備之持續更新及調校,以確保最佳防護效果,並由監控中心進行監控通報。 主要功能:防堵入侵攻擊於機房端,並結合多種入侵偵測技術,有效阻絕目前各式各樣的網路攻擊。 2.定期產出週報以檢視防護成效。 3.主動查詢攔截紀錄,了解攔截了哪些網路攻擊。 |
投入資通安全管理之資源
為深化資訊安全與機密資訊保護,持續進行管理制度與技術的強化,本公司設置兩名資安人員,並已建置防火牆系統、進階威脅防護 (ATP) 系統、郵件備援系統、郵件歸檔系統、機房環控系統、網路管理系統;且依據風險影響的大小及改善成本以設定優先執行次序,持續提升資通安全能力及保護公司重要資訊資產。
112年度執行情形
資訊部定期彙整資安事件應對處理紀錄,並於每季在跨部門管理會議上報告資安事件應對處理過程,112年度並無發生危害本公司資訊安全之事件。