資通安全管理政策

目的

於近年來電腦及網際網路應用之普及,為確保公司有關資料、資訊系統、設備及網際網路之安全,特訂定資訊安全管理作業規範,作為全體員工資訊安全方面之依據。


資訊安全風險管理架構

A

公司組建資通安全處理小組來統籌本公司資訊安全管理等事項之協調、規劃、稽核及推動。

B

小組成員由資訊單位組成,必要時會請各單位協助處理。

C

資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由資訊專員負責辦理,資訊室為非隸屬使用者單位之獨立部門。

D

資訊機密維護及安全稽核等事項,由資訊單位協同管理單位辦理。


資安政策

為確保資訊處理之正確性、所使用事物機器(包括電腦硬體、軟體、週邊)及網路系統之可靠性,並確保各項資源免受任何因素之干擾、破壞、入侵或任何不利之行為,經由適當的系統規劃、程序規範及行政管理的相互配合,以防範來自內、外部的威脅,達到維護系統安全的目的。


作業內容

A

人員資訊安全管理、責任及教育訓練。

B

電腦系統安全管理。

C

網路安全管理。

D

系統存取控制。

E

教育訓練。

F

系統發展及維護之安全管理。

G

資訊資產之安全管理。

H

實體及環境安全管理。

I

業務永續運作計畫之規劃與管理。


具體管理方式

A
網際網路及資安控管:
  • 架設防火牆並使用UTM防堵漏洞
  • 定期對系統進行掃毒及更新
  • 委外廠商進行維護時在相關人員監督下才可進行作業
  • 人員進出管制
B
資料存取控管:
  • 資訊設備由專人保管並設定帳號及密碼並進行資產管理
  • 依據職能分別給予不同的存取權限
  • 調離職人員修改或取消權限
  • 不使用電腦時須完全登出系統或關機
C
應變復原:
  • 系統每年進行災害還原演練
  • 建立系統及資料備份
  • 定期消防演練
  • 不斷電系統定期檢測
D
宣導及檢核:
  • 隨時宣導資訊安全資訊
  • 定期內外稽、內控自評並由稽核人員報告董事會

投入資通安全管理之資源

A

網路硬體設備如防火牆、郵件防毒、垃圾郵件過濾等。

B

軟體系統如端點防護系統、VPN認證等。

C

電信服務如備援線路、UTM入侵防護服務等。

D

投入人力如: 每日系統狀態檢查、每週定期備份執行、資安宣導、每年系統災難復原執行演練、每年對資訊循環之內部稽核、會計師稽核等。

E

資安人力: 組建資通安全處理小組,負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂,每年向董事會至少報告一次。


執行狀況

A

公司目前無重大事件導致營業損害

B

資訊安全政策與相關規範不定時檢討評估,以反映政府法令

C

資訊人員進行資安課程進修,確保技術及業務最新發展現況


資通安全風險對公司財務業務之影響及因應措施

01
資通安全之風險
  • 本公司資訊作業重心以行政為主,主要風險在於來自任何第三方的攻擊,包括癱瘓系統、竊取公司機密資訊,如以非法方式入侵公司內部網路系統,破壞公司之營運與損及公司商譽等活動,並影響資訊系統及設施之正常運作。
02
資通安全之管理措施
  • 根據資通安全管理規範措施包含復原以及防護兩大部分,落實各系統及資料的異地備份,及災害還原演練,確保復原制度之資料完整性及效率。防護部分,本公司營運使用的資訊管理系統多為委外開發,與廠商簽訂維護合約與保密協定進行系統的維護,委外廠商須在相關人員監督下才可進行作業。各系統伺服器之系統定期更新並安裝端點防毒軟體,對外網路透過防火牆與UTM服務進行防禦。 本公司各項資訊安全風險,透過資安政策的不斷完善、更新與落實,有效的降低各類型資訊威脅的發生機率與影響損害程度,達成風險控管的目的。

總結整體的資訊風險為低風險,對財務及業務的影響小,亦對營運沒有產生重大的風險。將持續改進並以 TWCERT/CC 發佈的公告做為參考,參考國際標準制定資安KPI完善資安拼圖。