一、資通安全風險管理架構
本公司資訊安全之權責單位為資訊室,設置資訊主管一名,及資訊工程師一名,負責訂定公司資訊安全政策,規劃資訊安全措施,並執行相關之資訊安全作業。
本公司稽核室為資訊安全監理之查核單位,若查核發現缺失,旋即要求受查單位提出相關改善計畫並呈報董事會,且定期追蹤改善成效,以降低內部資安風險。
每年會計師進行資訊作業查核,若發現缺失,會要求改善措施並追蹤改善結果。
二、資通安全政策及管理方案
為強化資通安全管理,確保資訊的可用性、完整性以及機密性,並免於遭受內、外部的蓄意或意外的威脅,本公司資通安全設施與管理方式分為六大項,茲闡述如下:
(一)電腦設備安全管理
1.本公司電腦主機、各應用伺服器等設備均設置於專用機房,機房進出由資訊人員管制,且保留進出紀錄存查。
2.機房內部備有獨立空調,維持電腦設備於適當的溫度環境下運轉;並放置藥劑式滅火器,可適用於一般或電器所引起的火災。
3.機房主機配置不斷電與穩壓設備,避免台電意外瞬間斷電造成系統當機,或確保臨時停電時不會中斷電腦應用系統的運作。
(二)網路安全管理
1.強化網路控管,配置企業級防火牆,阻擋駭客非法入侵。
2.台北總公司與外點各辦事處,使用指定IP位置的連線作業方式,配合防火牆設定各辦事處固定IP,避免非集團成員存取內部網路及各項服務。
3.同仁若要由遠端登入公司內網存取ERP系統,必須跟資訊室借用筆電或桌機,並索取VPN帳號、密碼後方可登入。
(三)病毒防護與管理
1.伺服器與同仁電腦內均安裝有端點防護軟體,病毒碼採自動更新方式,確保能阻擋最新型的病毒,同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為。
2.防毒軟體對於所偵測或攔截到的病毒,除立即予以隔離或刪除外,並要求同仁需通報資訊室以利資訊人員採取因應行動。
(四)系統存取控制
1.同仁對各應用系統的使用,填寫資訊系統帳號申請單,經權責主管核准後,由資訊室建立系統帳號並設定權限後方得存取。
2.帳號的密碼設置,規定期限(三個月)需更換密碼,並設定適當的複雜性(英數混雜),才能通過。
3.同仁辦理離(退)職手續時,必須填寫資訊系統帳號申請單,進行各系統帳號的刪除作業。
(五)確保系統的永續運作
1.透過軟體備份Server及其他資料至外接硬碟共兩份,每周本地及異地外接硬碟互換。
2.災害復原演練:每年實施模擬演練,確保備份資料的正確性與有效性。
(六)資安宣導與教育訓練
1.新進員工於新人教育訓練時,進行資安政策及目標之宣導。
2.定期跟同仁宣導資安風險及目前最新的資安情資,以強化人員資安意識。
3.指派資訊室人員吸收新知,不斷更新資安知識,並參加講座與其他公司交流、互助。
三、投入資通安全管理之資源
(一)網路硬體設備如防火牆、郵件防毒、垃圾郵件過濾。
(二)軟體系統如端點防護系統、備份管理軟體等。
(三)投入人力如:每日各系統狀態檢查、每週定期備份及備份媒體異地存放之執行、每年資安宣導、每年系統災難復原模擬演練、每年對資訊循環之內部稽核、會計師稽核等。
(四)資安人力:資訊主管一名及資訊工程師一名,負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂。