資訊安全管理
一、 資通安全管理策略與架構
(一) 資通安全風險管理架構
1. 資訊安全治理組織
本公司資安專責單位由資訊部負責,目前設置資安長(總經理兼任)、資安人員一員,負責統籌資訊安全政策之制定、執行及風險管理與遵循,並定期檢
討調整資訊安全政策。另稽核室每年定期查核資通安全管理作業,並向董事會及審計委員會彙報查核結果。
2. 資訊安全組織架構
(二) 資通安全政策
本公司訂有「資訊管理程序」、「資訊系統權限管理辦法」、「資料備份管理辦法」及「資訊安全檢查辦法」等作業辦法。
(1)建立資訊資產監控及管控機制,所有人員均有責任及義務保護其所負責之相關資訊資產,以確保本公司重要資訊資產之機密性、正確性及可用性。
(2)員工之工作職掌應作適當區隔,並僅授予完成工作所需之必要權限與必要資訊。
(3)人員錄用應進行必要之考核並簽署相關作業規範,以瞭解維護保證資訊安全為每位人員之義務,落實於日常工作中。
(4)建立業務持續運作管理機制,以維持其適用性。
(5)本公司資訊安全措施,應符合法律之規範及本公司資訊安全相關辦法之要求; 所有資訊安全規範或程序之建置及修改,須符合並遵循資訊安全管理
制度之機制。
1. 具體管理方案:
資訊安全管理措施說明如下:
(1)制度規範:本公司內部訂定多項資安規範及制度,以規範本公司人員資訊安全行為,定期檢視相關制度是否符合營運環境變遷,並依需求適時調整。
(2)系統防護:本公司為防範各種內/外部資安威脅,除網路架構設計外,更建置防火牆、端點防護軟體等防護系統,以提昇整體資訊環境之安全性。
(3)人員訓練:本公司不定期宣導資訊安全事項,藉以提昇公司同仁資安知識與專業技能。
具體作法如下:
| 項 目 | 具 體 管 理 方 案 |
|---|---|
|
限制僅有公司設備及有線網路存取器能存取公司的網路,防火牆會限制存取VPN資源; 無線網路僅提供網際網路服務,禁止使用無線網路連結公司內部資源。 |
|
系統包含ERP、Run Portal、E-Mail、VPN等。 針對新進人員由管理部門填具「新增暨異動資訊系統帳號門禁管理申請單」,由資訊工程單位新增帳號並設定預設權限; 人員離職時,依「離職作業管理辦法」之關規定,由資訊工程單位將該員工之帳號刪除或關閉該帳號的所有權限。 資訊單位亦定期提供權限表給各位主管檢視所屬員工之使用權限是否恰當。 |
|
定期將重要之檔案資料進行備份; 檔案伺服器時時自動同步至檔案同步伺服器及異地之檔案伺服器。 |
|
防火牆內建病毒引擎/WAN管制及電腦安裝端點防護軟體。 |
|
產品開發流程中各階段之輸出資料經主管單位審核後移交文件管制中心(DCC)建檔,產品開發文件如有參考或借閱需求需填寫「產品開發文件借閱複印申請單」經權責主管核可方可借閱及複印。 研發重要資料存放公司的檔案伺服器,位於防火牆內,並做權限控管,僅給部分的申請者讀取權限。 |
檢討與持續改善
| 項 目 | 具 體 管 理 方 案 |
|---|---|
|
不定期以內部郵件向全公司員工宣導資訊安全事項與近期資訊安全事件。 針對新進同仁需完成「資訊系統與資訊安全介紹課程」,確保新進同仁瞭解公司資訊安全政策。 |
2. 投入資通安全管理之資源
本公司定期檢視整體資通安全規劃,以反應現況,並加強宣導同仁資訊安全概念;此外,本公司定期檢視與維護主機設備及防火牆,
並將電腦化資訊系統相關控制作業列入年度稽核計畫之稽核項目。
二、 資通安全風險與因應措施
本公司已建立資安防護措施,但亦無法保證能完全避免網路攻擊,僅能與時俱進持續改善資安規範。
三、 重大資通安全事件
最近年度及截至年報刊印日止,本公司尚無重大資通安全事件。但面對日益增長的資安威脅,資訊安全的要求及工具也將需與時俱進。
四、提報董事會日期
112年11月7日