資通安全風險管理架構
資通安全風險管理架構
· 本公司資通安全之權責單位為資訊處,負責規劃、執行及推動資通安全
管理事項,並推展資通安全意識。
· 本公司稽核處為資通安全監理之查核單位,若查核發現缺失,旋即要求
受查單位提出相關改善計畫並呈報董事會,且定期追蹤改善成效,以降
低內部資安風險。
· 組織運作模式-採 PDCA(Plan-Do-Check-Act)循環式管理,確保可靠度
目標之達成且持續改善。
一、資通安全政策
1. 維持各資通系統永續運作
2. 防止駭客、各種病毒入侵及破壞
3. 防止人為意圖不當及不法使用
4. 防止機敏資料外洩
5. 避免人為疏失意外
6. 維護實體環境安全
二、資通安全具體管理方案
| 管理方案項目 |
管理方案內容 |
| 電腦設備安全管理 |
- 本公司電腦主機、各應用伺服器等設備均設置於專用機房,機房保留進出紀錄存查。
- 機房內部備有獨立空調,維持電腦設備於適當的溫度環境下運轉;並放置藥劑式滅火器,可適用於一般或電器所引起的火災。
- 機房主機配置不斷電與穩壓設備,避免台電意外瞬間斷電造成系統當機,或確保臨時停電時不會中斷電腦應用系統的運作。
|
| 網路安全管理 |
- 與外界網路連線的入口,配置企業級防火牆,阻擋駭客非法入侵。
- 同仁由遠端登入公司內網存取ERP系統,必須申請VPN帳號,透過VPN的安全方式始能登入使用,且均留有使用紀錄可稽查。
- 配置上網行為管理與過濾設備,控管網際網路的存取,可屏蔽訪問有害或政策不允許的網路位址與內容,強化網路安全並防止頻寬資源被不當占用。
|
| 病毒防護與管理 |
- 伺服器與同仁終端電腦設備內均安裝有端點防護軟體,病毒碼採自動更新方式,確保能阻擋最新型的病毒,同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為。
- 電子郵件伺服器配置有郵件防毒、與垃圾郵件過濾機制,防堵病毒或垃圾郵件進入使用者端的PC。
|
| 系統存取控制 |
- 同仁對各應用系統的使用,透過公司內部規定的系統權限申請程序,經權責主管核准後,由資訊室建立系統帳號,並經各系統管理員依所申請的功能權限做授權方得存取。
- 帳號的密碼設置,規定適當的強度、字數,並且必須文數字、特殊符號混雜,才能通過。
- 同仁辦理離(休)職手續時,資訊室依人資離職通知,進行各系統帳號的刪除作業。
|
| 確保系統的永續運作 |
- 系統備份:建置分地備份系統,採取日備份機制,異地電腦機房各存一份備份資料,且異地建置備援系統,以確保系統與資料的安全。
- 災害復原演練:各系統每年實施一次演練,選定還原日期基準點後,由備份媒體回存於系統主機,再由使用單位書面確認回復資料的正確性,確保備份媒體的正確性與有效性。
- 租用電信公司兩條數據線路,透過頻寬管理設備,兩線路並聯互為備援使用,確保網路通訊不中斷。
|
| 資安宣導與教育訓練 |
- 提醒宣導:要求同仁定期更換系統密碼,以維帳號安全。
- 資安宣導:提供資通安全實例文件給同仁參考。
|
三、資通安全的資源投入
資通安全由本公司資訊處負責,共設置4人,針對資通安全管理每季會議檢討。針對系統主機的作業系統或重要軟體升級、災害復原演練等重要的資安工作,資訊處每季檢討規劃執行, 並透過不定期的資安健檢,判斷資訊設備資源投入與系統配置是否存在漏洞,編列資安預算後執行;並與司法機關簽訂資通安全防護協定,建立資通安全聯防機制。
四、緊急通報程序
當發生資訊安全事件時,發生單位通報資訊處,判斷事件類型並找出問題點,即時處理並留下紀錄。
