Menu

資訊安全

管理架構

● 為提升資訊安全管理,本公司指派資訊室為資訊安全管理權責單位,並作為公司及子公司內跨部門資訊安全治理、規劃、督導及推動執行。

● 109年執行情形:依組織單位規劃由總經理為資訊安全最高督導主管,資訊室主管擔任資訊安全管理代表,各單位指派之資訊安全代表,不定期召開「資安代表會議」審查資訊安全發展方向及策略,使資訊安全檢查制度持續穩健落實。

● 資訊安全治理報告及成果不定期於董事會報告。

 

資安政策

1. 恪遵法令訂定相關資訊安全管理規章,對本公司資訊資產提供適當的保護措施,以確保其機密性、完整性、可用性及法律遵循性。

2. 定期評估各種人為及天然災害對本公司資訊安全之影響,並訂定重要資訊資產及關鍵性業務之防災對策及災變復原計畫,以確保本公司業務持續運作。

3. 督導本公司同仁落實資訊安全防護工作,建立「資訊安全、人人有責」觀念,提升各業務部門及人員對資訊安全之認知。

4. 要求本公司全體同仁以及使用或連結本公司電腦系統之往來廠商,應確實遵守本公司資訊安全相關規定,如有違反者,視其情形分別依本公司規定懲處或依契約罰則辦理外,情節嚴重者另將受相關法律之訴追。

 

管理方案

本公司針對營運類資產如企業資源規劃系統(ERP)、網路設備及伺服器等資訊設備與協力廠商簽訂電子設備保險,並透過保全監控及環境監測系統避免設備被盜或是惡意毀損情事發生。

 

因應資訊安全所面臨的挑戰,如APT間接持續性攻擊、DDoS攻擊、勒索軟體、社交工程攻擊、竊取資訊等資訊安全議題,已採取如下策略

 

因應外部威脅:

● 建置網路防火牆並啟用自動資訊安全特徵碼,防止外部對內網的系統、電腦攻擊、滲透。

● 提供外網連接用應用程式伺服器,設定於獨立內部網路區段,並指定特定人員電腦設備才允連線維護。

● 委託電路服務業者啟用網路風險防堵服務,避免外部網路可能造成之損失。

 

公司內部管理:

● 檢視相關措施之架構與維運機制是否存在單點失效之風險,及針對業務持續運作之妥適性進行風險分析,並提出資訊架構安全評估之結果與建議。

● 檢視網路、資安設備及伺服器之存取紀錄、帳號權限之授予與監控機制是否符合內控作業規範;清查該等設備之帳號權限及存取紀錄,識別異常紀錄與確認警示機制。

● 檢視伺服器(如:網域服務Active Directory)有關「密碼設定原則」與「帳號鎖定原則」之設定,透過工具分析及人工作業,檢視相關網域安全性原則設定是否符合內控規範。

● 終端電腦設備安裝防護程式,以避免被滲透之可能。

 

資訊室持續關注資訊環境變化趨勢,並參考技術文刊資料、業界資訊安全新聞,擬定資訊安全防護機制與方案進行資訊安全宣導。強化同仁資安危機及資安處理人員應變能力,以期能事先防範及第一時間有效偵測並阻絕擴散。

 

     電腦資訊系統管理辦法