信息安全风险管理架构
资通安全风险管理架构
· 本公司资通安全之权责单位为信息处,负责规划、执行及推动资通安全
管理事项,并推展资通安全意识。
· 本公司稽核处为资通安全监理之查核单位,若查核发现缺失,旋即要求
受查单位提出相关改善计划并呈报董事会,且定期追踪改善成效,以降
低内部资安风险。
· 组织运作模式-采 PDCA(Plan-Do-Check-Act)循环式管理,确保可靠度
目标之达成且持续改善。
一、资通安全政策
1. 维持各资通系统永续运作
2. 防止黑客、各种病毒入侵及破坏
3. 防止人为意图不当及不法使用
4. 防止机敏数据外泄
5. 避免人为疏失意外
6. 维护实体环境安全
二、资通安全具体管理方案
| 管理方案项目 |
管理方案内容 |
| 计算机设备安全管理 |
- 本公司计算机主机、各应用服务器等设备均设置于专用机房,机房保留进出纪录存查。
- 机房内部备有独立空调,维持计算机设备于适当的温度环境下运转;并放置药剂式灭火器,可适用于一般或电器所引起的火灾。
- 机房主机配置不断电与稳压设备,避免台电意外瞬间断电造成系统当机,或确保临时停电时不会中断计算机应用系统的运作。
|
| 网络安全管理 |
- 与外界网络联机的入口,配置企业级防火墙,阻挡黑客非法入侵。
- 同仁由远程登录公司内网存取ERP系统,必须申请VPN账号,透过VPN的安全方式始能登入使用,且均留有使用纪录可稽查。
- 配置上网行为管理与过滤设备,控管因特网的存取,可屏蔽访问有害或政策不允许的网络地址与内容,强化网络安全并防止带宽资源被不当占用。
|
| 病毒防护与管理 |
- 服务器与同仁终端计算机设备内均安装有端点防护软件,病毒特征采自动更新方式,确保能阻挡最新型的病毒,同时可侦测、防止具有潜在威胁性的系统执行文件之安装行为。
- 电子邮件服务器配置有邮件防毒、与垃圾邮件过滤机制,防堵病毒或垃圾邮件进入用户端的PC。
|
| 系统访问控制 |
- 同仁对各应用系统的使用,透过公司内部规定的系统权限申请程序,经权责主管核准后,由信息室建立系统账号,并经各系统管理员依所申请的功能权限做授权方得存取。
- 账号的密码设置,规定适当的强度、字数,并且必须文数字、特殊符号混杂,才能通过。
- 同仁办理离(休)职手续时,信息室依人资离职通知,进行各系统账号的删除作业。
|
| 确保系统的永续运作 |
- 系统备份:建置分地备份系统,采取日备份机制,异地计算机机房各存一份备份数据,且异地建置备援系统,以确保系统与数据的安全。
- 灾害复原演练:各系统每年实施一次演练,选定还原日期基准点后,由备份媒体回存于系统主机,再由使用单位书面确认回复数据的正确性,确保备份媒体的正确性与有效性。
- 租用电信公司两条数据线路,透过带宽管理设备,两线路并联互为备援使用,确保网络通讯不中断。
|
| 资安倡导与教育训练 |
- 提醒倡导:要求同仁定期更换系统密码,以维账号安全。
- 资安倡导:提供资通安全实例文件给同仁参考。
|
三、资通安全的资源投入
资通安全由本公司信息处负责,共设置4人,针对资通安全管理每季会议检讨。针对系统主机的操作系统或重要软件升级、灾害复原演练等重要的资安工作,信息处每季检讨规划执行, 并透过不定期的资安健检,判断信息设备资源投入与系统配置是否存在漏洞,编列资安预算后执行;并与司法机关签订资通安全防护协定,建立资通安全联防机制。
四、紧急通报程序
当发生信息安全事件时,发生单位通报信息处,判断事件类型并找出问题点,实时处理并留下纪录。
