資訊安全風險管理

本公司已建置資訊安全管理架構，由總經理主導制定資訊安全管理政策，並指派專門的資安專責主管及人員，負責擬定和實施資訊安全管理方案。此外，資訊安全稽核單位負責內部查核、資訊安全預防以及危機處理等監控工作，以不斷提升內部異常偵測和防護方法，並減低公司的資訊安全風險。

資訊安全具體管理方案
考量資訊安全風險仍屬新興風險，並且目前尚無適用於本公司的資訊安全保險，本公司目前依循現有的資訊安全管理程序來實施資訊安全風險管理。以下是相關的執行措施：
 

• 網路安全管理

1. 配置企業級防火牆，阻擋駭客非法入侵。
2. 使用SSL VPN確保與分公司的連線操作，並透過資料加密方式保護傳輸中的資料。
3. 建置上網行為管理系統，以控管網路存取，屏蔽有害或違反政策的網址和內容，以提高網路安全性，並防止頻寬被不當佔用。
4. 強化資通服務委外管理，確保外包的系統和服務同樣符合資訊安全標準。

 

• 系統存取控制

1. 所有應用系統的使用必須透過資訊服務需求申請程序，經權責主管核准後，由資訊室建立帳號。各系統管理員依申請的功能開放權限進行設置。
2. 帳號密碼設置必須符合強度規定，並包含文數字組合。
3. 在同仁離職時，需會辦資訊室，進行各系統帳號的安全刪除作業。

 

• 落實資安訓練

1. 定期進行資訊安全教育訓練，不定期進行資訊安全宣導，以提高同仁對於資訊安全的認知。
2. 定期進行社交工程訓練，並針對違反資安規定的同仁進行特別課程。
3. 強化資通服務委外管理，確保外包的系統和服務同樣受到有效的訓練和宣導。

 

• 病毒防護與管理

1. 在伺服器和同仁電腦設備上安裝端點防護軟體，確保能夠阻擋最新型的病毒。
2. 電子郵件伺服器配置垃圾郵件過濾機制，以防止病毒或垃圾郵件進入使用者端的電腦。
3. 強化資通服務委外管理，確保外包的系統和服務同樣具備有效的病毒防護措施。

 

• 確保系統可用性

1. 建置備份管理系統，定期備份資料，一份保存在機房，另一份存放在異地，以確保資料的備援。
2. 定期實施災難復原演練，從備份中還原資料以確保系統正常運作。
3. 強化資通服務委外管理，確保外包的系統和服務同樣具備有效的災難復原措施。

 

• 電腦設備安全管理

1. 本公司電腦主機、各應用伺服器……等皆設置於專用機房，機房門禁採感應式刷卡進出，且保留記錄存查。
2. 資訊機房內有獨立空調及不斷電系統，以維持電腦設備於適合的溫度下運轉，斷電時不會中斷電腦應用系統的運作。
3. 建置設備管理系統，需經過公司認證之移動裝置及USB裝置才可連線至公司內網及存取資料。

 

• 投入資安管理之資源

1. 購入Acronis Cyber Backup 備份軟體
2. 採用Forescout 資安風險評估與風險防禦管理平台
3. 定期執行主機系統及網站之弱點掃描