經本公司權責單位資訊室評估,資訊安全風險雖佔本公司營運風險比重較小,但隨著網路環境漸趨複雜,相關風險可能逐年增高,本公司已建置資訊安全管理架構,並制定相關資訊安全管理政策,配置一名資安專責主管及一名資安專責人員,擬定並執行資訊安全具體管理方案,加上稽核單位,進行管理制度內部查核、資訊安全預防及危機處理等監控作業,持續精進內部異常偵測與防護方法,以降低企業資安風險。

資訊安全具體管理方案

本公司現階段以既有的資訊安全管理程序來落實資訊安全風險管理。相關具體執行措施如下:

網路安全管理

1.配置企業級防火牆,阻擋駭客非法入侵。
2.與分公司及外點使用SSL VPN的連線作業,使用資料加密方式,避免資料傳輸過程遭到非法擷取。
3.配置上網行為管理系統,控管網路存取,可屏蔽訪問有害或政策不允許的網址及內容,強化網路安全且防止頻寬被不當佔用。

系統存取控制

1.公司內各應用系統的使用,需透過資訊服務需求申請程序,經權責主管核准後,由資訊單位建立帳號,且經過系統管理員依所申請之功能開放權限,方得使用。
2.帳號的密碼設置,需符合文數字參雜規定,才能通過。
3.同仁辦理離職手續時,需會辦資訊單位,進行各系統帳號刪除作業。

落實資安訓練

1.定期對員工進行資訊安全宣導,不定期實施資訊安全教育訓練,以提高同仁對資訊安全認知的重要性。
2.在各系統作業,皆有彈跳視窗溫馨提醒注意資安事項。

病毒防護與管理

1.伺服器與同仁電腦設備皆安裝端點防護軟體,病毒碼採自動更新,確保能阻擋最新型病毒。
2.電子郵件伺服器配置有垃圾信過濾機制,防堵病毒或垃圾郵件進入使用者端PC。

確保系統可用性

1.建置備份管理系統,定期將每日備份的資料,一份保留在機房,另一份放於異地,互相備援。
2.定期實施災難復原演練,選定還原基準點後,由備份檔回存於系統主機。

電腦設備安全管理

1.本公司電腦主機、各應用伺服器等皆設置於專用機房,機房門禁採感應式刷卡進出,且保留記錄存查。
2.資訊機房內有獨立空調及不斷電系統並備有發電機,以維持電腦設備於適合的溫度下運轉,斷電時不會中斷電腦應用系統的運作。
3.建置設備管理系統,需經過公司認證之移動裝置及裝置才可連線至公司內網及存取資料。

投入資安管理之資源

1.使用Veritas backup exec備份軟體
2.採用Sharetech Next Generation UTM防禦管理平台
3.定期執行主機系統及網站之弱點掃描
同意