一、 資通安全風險管理架構
- 本公司資訊安全之權責單位為行政部,並設置資安主管乙名及資安人員乙名,負責訂定公司資訊安全政策,規劃資訊安全措施,並執行相關之資訊安全作業,並定期向董事會報告公司資安治理概況,近期報告日期為2023年12月21日。
- 本公司稽核室為資訊安全監理之督導單位,該室設置稽核主管與專職稽核人員,負責督導內部資安執行狀況,若查核發現缺失,旋即要求受查單位提出相關改善計畫並呈報董事會,且定期追蹤改善成效,以降低內部資安風險。每年會計師進行資訊作業查核,若發現缺失,會要求改善措施並追蹤改善結果。
二、 資通安全政策
- 為貫徹本公司各項資訊管理制度能有效運作執行,並維護重要資訊系統的安全,以確保資訊系統、設備網路之安全維運,達到永續經營目的。
三、 具體管理方案
- 電腦設備安全管理
- 本公司電腦主機、各應用伺服器等設備均設置於專用機房,機房門禁採用感應刷卡進出,且保留進出紀錄存查。
- 機房內部備有獨立空調,維持電腦設備於適當的溫度環境下運轉;並放置藥劑式滅火器,可適用於一般或電器所引起的火災。
- 網路安全管理
- 強化網路控管,與外界網路連線的入口,配置企業級防火牆,阻擋駭客非法入侵。
- 同仁由遠端登入公司內網存取資料,必須申請資料庫VPN 帳號,透過VPN 的安全方式始能登入使用,且均留有使用紀錄可稽查。
- 病毒防護與管理
- 伺服器與同仁終端電腦設備內均安裝有端點防護軟體,病毒碼採自動更新方式,確保能阻擋最新型的病毒,同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為。
- 電子郵件伺服器配置有郵件防毒、與垃圾郵件過濾機制,防堵病毒或垃圾郵件進入使用者端的PC。
- 防病毒系統對於所偵測或攔截到的病毒,除立即予以隔離或刪除外,並主動發出受感染和處於風險的電腦風險報告,以利管理人員採取因應行動。
- 系統存取控制
- 同仁對各應用系統的使用,透過公司內部規定的系統權限申請程序,經權責主管核准後,由資訊室建立系統帳號,並經各系統管理員依所申請的功能權限做授權方得存取。
- 帳號的密碼設置,規定適當的強度、字數,並且必須文數字、特殊符號混雜,才能通過。
- 同仁辦理離(休)職手續時,必須會辦行政部,進行各系統帳號的刪除作業。
- 確保系統的永續運作
- 系統備份:建置雲端備份系統,採取日備份機制,系統與資料庫除了上傳一份於國際雲端外,電腦機房各存一份,以確保絕對的安全。
- 災害復原演練:各系統每年實施一次演練,選定還原日期基準點後,由備份媒體回存於系統主機,再由使用單位書面確認回復資料的正確性,確保備份媒體的正確性與有效性。
- 資安宣導與教育訓練
- 定期宣導:要求同仁定期更換系統密碼,以維帳號安全。
- 講座宣導:每年不定期對內部同仁實施資訊安全相關的教育訓練課程。
- 本公司資訊安全主管及人員已加入中華民國資訊軟體協會,透過資安長聯誼會之互動交流,吸取更多相關新知及經驗。
四、 投入資通安全管理之資源
- 網路硬體設備如防火牆、郵件防毒、垃圾郵件過濾、上網行為分析等。
- 軟體系統如端點防護系統、備份管理軟體、VPN 認證及加密軟體等。
- 電信服務如多重線路、雲端備份服務、入侵防護服務等。
- 投入人力如:每日各系統狀態檢查、每週定期備份及備份媒體異地存之執行、每年資安宣導教育課程、每年系統災難復原執行演練、每年對資訊循環之內部稽核、會計師稽核等。
- 資安人力:設置資安主管乙名及資安人員乙名共兩名人員,負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂。
- 本年度於2023年12月26日召開資通安全管理審查會議,確認資通安全維護計畫之可行性,以確保執行上之有效性。
