IT Security Risk Management

資訊安全風險管理架構
· 本公司資訊安全之權責單位為資訊處,負責規劃、執行及推動資訊安全
  管理事項,並推展資訊安全意識。
· 本公司稽核處為資訊安全監理之查核單位,若查核發現缺失,旋即要求
  受查單位提出相關改善計畫並呈報董事會,且定期追蹤改善成效,以降
  低內部資安風險。
· 組織運作模式- PDCAPlan-Do-Check-Act)循環式管理,確保可靠度
  目標之達成且持續改善。
 
一、資訊安全政策
    1. 維持各資訊系統永續運作
    2. 防止駭客、各種病毒入侵及破壞
    3. 防止人為意圖不當及不法使用
    4. 防止機敏資料外洩
    5. 避免人為疏失意外
    6. 維護實體環境安全
 
二、資訊安全具體管理方案
    1. 電腦設備安全管理
      (1) 本公司電腦主機、各應用伺服器等設備均設置於專用機房,
         機房保留進出紀錄存查。
      (2) 機房內部備有獨立空調,維持電腦設備於適當的溫度環境下運轉;
         並放置藥劑式滅火器,可適用於一般或電器所引起的火災。
      (3) 機房主機配置不斷電與穩壓設備,避免台電意外瞬間斷電造成系統
         當機,或確保臨時停電時不會中斷電腦應用系統的運作。
   
    2. 網路安全管理
      (1) 與外界網路連線的入口,配置企業級防火牆,阻擋駭客非法入侵。
      (2) 同仁由遠端登入公司內網存取ERP系統,必須申請VPN帳號,透過
VPN的安全方式始能登入使用,且均留有使用紀錄可稽查。
(3) 配置上網行為管理與過濾設備,控管網際網路的存取,可屏蔽訪問
 有害或政策不允許的網路位址與內容,強化網路安全並防止頻寬資
 源被不當占用。
 
3. 病毒防護與管理
(1) 伺服器與同仁終端電腦設備內均安裝有端點防護軟體,病毒碼採自
 動更新方式,確保能阻擋最新型的病毒,同時可偵測、防止具有潛
 在威脅性的系統執行檔之安裝行為。
(2) 電子郵件伺服器配置有郵件防毒、與垃圾郵件過濾機制,防堵病
         毒或垃圾郵件進入使用者端的PC
 
4. 系統存取控制。
(1) 同仁對各應用系統的使用,透過公司內部規定的系統權限申請程序,
經權責主管核准後,由資訊室建立系統帳號,並經各系統管理員
依所申請的功能權限做授權方得存取。
(2) 帳號的密碼設置,規定適當的強度、字數,並且必須文數字、特
殊符號混雜,才能通過。
(3) 同仁辦理離()職手續時,資訊室依人資離職通知,進行各系統
   帳號的刪除作業。
 
    5. 確保系統的永續運作。
      (1) 系統備份:建置分地備份系統,採取日備份機制,異地電腦機房各存
         一份備份資料,且異地建置備援系統,以確保系統與資料的安全。
      (2) 災害復原演練:各系統每年實施一次演練,選定還原日期基準點後,
         由備份媒體回存於系統主機,再由使用單位書面確認回復資料的正
         確性,確保備份媒體的正確性與有效性。
      (3) 租用電信公司兩條數據線路,透過頻寬管理設備,兩線路並聯互為
         備援使用,確保網路通訊不中斷。
 
    6. 資安宣導與教育訓練
      (1) 提醒宣導:要求同仁定期更換系統密碼,以維帳號安全。
      (2) 資安宣導:提供資訊安全實例文件給同仁參考。