資訊安全風險管理
經本公司權責單位資訊室評估,資訊安全風險雖佔本公司營運風險比重較小,但隨著網路環境漸趨複雜,相關風險可能逐年增高,本公司已建置資訊安全管理架構,並制定相關資訊安全管理政策,配置一名資安專責主管及一名資安專責人員,擬定並執行資訊安全具體管理方案,加上稽核單位,進行管理制度內部查核、資訊安全預防及危機處理等監控作業,持續精進內部異常偵測與防護方法,以降低企業資安風險。
資訊安全具體管理方案
本公司現階段以既有的資訊安全管理程序來落實資訊安全風險管理。相關具體執行措施如下:
- 網路安全管理
- 配置企業級防火牆,阻擋駭客非法入侵。
- 與分公司及外點使用SSL VPN的連線作業,使用資料加密方式,避免資料傳輸過程遭到非法擷取。
- 配置上網行為管理系統,控管網路存取,可屏蔽訪問有害或政策不允許的網址及內容,強化網路安全且防止頻寬被不當佔用。
- 系統存取控制
- 公司內各應用系統的使用,需透過資訊服務需求申請程序,經權責主管核准後,由資訊單位建立帳號,且經過系統管理員依所申請之功能開放權限,方得使用。
- 帳號的密碼設置,需符合文數字參雜規定,才能通過。
- 同仁辦理離職手續時,需會辦資訊單位,進行各系統帳號刪除作業。
- 落實資安訓練
- 定期對員工進行資訊安全宣導,不定期實施資訊安全教育訓練,以提高同仁對資訊安全認知的重要性。
- 在各系統作業,皆有彈跳視窗溫馨提醒注意資安事項。
- 病毒防護與管理
- 伺服器與同仁電腦設備皆安裝端點防護軟體,病毒碼採自動更新,確保能阻擋最新型病毒。
- 電子郵件伺服器配置有垃圾信過濾機制,防堵病毒或垃圾郵件進入使用者端PC。
- 確保系統可用性
- 建置備份管理系統,定期將每日備份的資料,一份保留在機房,另一份放於異地,互相備援。
- 定期實施災難復原演練,選定還原基準點後,由備份檔回存於系統主機。
- 電腦設備安全管理
- 本公司電腦主機、各應用伺服器……等皆設置於專用機房,機房門禁採感應式刷卡進出,且保留記錄存查。
- 資訊機房內有獨立空調及不斷電系統並備有發電機,以維持電腦設備於適合的溫度下運轉,斷電時不會中斷電腦應用系統的運作。
- 建置設備管理系統,需經過公司認證之移動裝置及USB裝置才可連線至公司內網及存取資料。
- 投入資安管理之資源
- 使用Veritas backup exec 備份軟體
- 採用Sharetech Next Generation UTM防禦管理平台
- 定期執行主機系統及網站之弱點掃描
