信息安全风险管理架构

信息安全风险管理架构
· 本公司信息安全之权责单位为信息处,负责规划、执行及推动信息安全
  管理事项,并推展信息安全意识。
· 本公司稽核处为信息安全监理之查核单位,若查核发现缺失,旋即要求
  受查单位提出相关改善计划并呈报董事会,且定期追踪改善成效,以降
  低内部资安风险。
· 组织运作模式- PDCAPlan-Do-Check-Act)循环式管理,确保可靠度
  目标之达成且持续改善。
 
一、信息安全政策
    1. 维持各信息系统永续运作
    2. 防止黑客、各种病毒入侵及破坏
    3. 防止人为意图不当及不法使用
    4. 防止机敏数据外泄
    5. 避免人为疏失意外
    6. 维护实体环境安全
 
二、信息安全具体管理方案
    1. 计算机设备安全管理
      (1) 本公司计算机主机、各应用服务器等设备均设置于专用机房,
         机房保留进出纪录存查。
      (2) 机房内部备有独立空调,维持计算机设备于适当的温度环境下运转;
         并放置药剂式灭火器,可适用于一般或电器所引起的火灾。
      (3) 机房主机配置不断电与稳压设备,避免台电意外瞬间断电造成系统
         当机,或确保临时停电时不会中断计算机应用系统的运作。
   
    2. 网络安全管理
      (1) 与外界网络联机的入口,配置企业级防火墙,阻挡黑客非法入侵。
      (2) 同仁由远程登录公司内网存取ERP系统,必须申请VPN账号,透过
VPN的安全方式始能登入使用,且均留有使用纪录可稽查。
(3) 配置上网行为管理与过滤设备,控管因特网的存取,可屏蔽访问
 有害或政策不允许的网络地址与内容,强化网络安全并防止带宽资
 源被不当占用。
 
3. 病毒防护与管理
(1) 服务器与同仁终端计算机设备内均安装有端点防护软件,病毒特征采自
 动更新方式,确保能阻挡最新型的病毒,同时可侦测、防止具有潜
 在威胁性的系统执行文件之安装行为。
(2) 电子邮件服务器配置有邮件防毒、与垃圾邮件过滤机制,防堵病
         毒或垃圾邮件进入使用者端的PC
 
4. 系统访问控制。
(1) 同仁对各应用系统的使用,透过公司内部规定的系统权限申请程序,
经权责主管核准后,由信息室建立系统账号,并经各系统管理员
依所申请的功能权限做授权方得存取。
(2) 账号的密码设置,规定适当的强度、字数,并且必须文数字、特
殊符号混杂,才能通过。
(3) 同仁办理离()职手续时,信息室依人资离职通知,进行各系统
   账号的删除作业。
 
    5. 确保系统的永续运作。
      (1) 系统备份:建置分地备份系统,采取日备份机制,异地计算机机房各存
         一份备份数据,且异地建置备援系统,以确保系统与数据的安全。
      (2) 灾害复原演练:各系统每年实施一次演练,选定还原日期基准点后,
         由备份媒体回存于系统主机,再由使用单位书面确认回复数据的正
         确性,确保备份媒体的正确性与有效性。
      (3) 租用电信公司两条数据线路,透过带宽管理设备,两线路并联互为
         备援使用,确保网络通讯不中断。
 
    6. 资安倡导与教育训练
      (1) 提醒倡导:要求同仁定期更换系统密码,以维账号安全。
      (2) 资安倡导:提供信息安全实例文件给同仁参考。