【信息安全风险管理架构】
本公司信息安全相关政策、计划、措施及技术规范,以及安全技术之研究、建置及评估相关事项,由信息部负责办理。资料及信息系统之安全需求研议、使用管理及保护等事项,由业务单位负责办理。稽核信息安全使用管理事项,由稽核室负责办理。使用单位对于信息资产之使用,必须依据权责单位要求,并具有正确使用操作之责任。
每月信息部于主管会议报告信息作业与执行结果。
每年稽核室会进行内部稽核,若发现缺失,会要求受查单位改善措施并追踪改善结果。
每年会计师会进行信息作业查核,若发现缺失,会要求改善措施并追踪改善结果。
【信息安全政策】
(一)目的
为维护公司整体信息安全环境,强化各项信息资产之安全管理及建立便利、安全的电子工作环境,以确保资料、系统、设备及网路的安全,信息设备的适当安置及信息安全实务作业的可行性与有效性。
(二)范围
本公司信息安全管理范围,包括本公司各项信息资产(含软、硬设备)及正式员工、临时员工、聘雇人员、外部厂商及其他经授权使用信息资产之人员等信息用户。
(三)定义与目标
综合考量各项信息资产之重要性及价值,以及因人为疏失、蓄意或自然灾害等风险,导致公司信息财产遭不当利用、数据泄漏、恶意窜改、损坏等,影响及危害本公司业务之程度,采与信息资产价值相称及具成本效益之管理、作业及技术等安全措施。避免信息系统遭受内、外部人员不当使用或蓄意破坏,或发生信息安全事件时,公司能迅速应变处置,降低资安事件可能带来之经济损害及营运中断。
【信息安全具体管理方案】
(一)主机系统安全:
1.为确保主机作业平台及资料库之安全,使操作程序标准化,应不定期检查主机状况或委外定期保养,且重要主机需有备援或
备份机制。
2.时常检查计算机是否有不明程序启动执行,不要开启无法确定及不必要的服务,如.zip,.exe,.scr,.vbs…等,避免遭受植入
木马程序。
3.定期检视更新系统安全修补、防病毒软件及防毒码,保持更新至最新状态,勿自行关闭系统自动更新程序,以维持系统正常
运作。
4.个人计算机不使用时,需采用密码保护、锁定或注销脱机等安全措施。
5.禁止使用点对点互连(P2P)、tunnel相关工具或任何有危害单位网络、设备及造成网络壅塞占用带宽等软件及架站软件(FTP)作
私人用途。
(二)网路安全与计算机病毒防范:
1.为确保网路服务及使用之安全,对新进人员进行教育训练且不定期发布相关网络安全倡导。
2.所有计算机皆需安装公司所购买正式版权的防病毒软件,进行计算机的防制及定期侦测,防止计算机病毒等恶意软件的侵入。
(三)日常作业之安全管理:
1.数据备份:
(1)定期对重要数据进行备援动作,以防发生意外或储存媒体失效。
(2)备援数据除存放在主作业区之外亦需有异地的备援机制存在,以防主要作业场所发生意外。
(3)不定期进行测试备份数据,以确保备份数据的可用性。
2.密码设定原则:
(1)计算机设备应设定账号密码并定期检查,密码建议每3个月更新一次。
(2)设定原则密码建议长度至少8个字符,且包含文数字等。
3.环境安全管理控管:
(1)为确保相关设施之安全,非单位指定之人员不得擅自进入机房或使用相关信息设备。
(四)网络安全规划与管理:
1.网络安全规划:
(1)应建立计算机网路系统的安全控管机制,以确保网路传输资料的安全,保护連网作业,且防止未经授权的系统存取。
(2)对于跨组织、地区之计算机网路系统,应特别加强网路安全管理。
2.防火墙安全管理:
(1)与外界网络链接的接口应加装防火墙,以控管数据传输与资源存取。
(2)防火墙应由网络管理员管理且禁止由远程登录,以避免登入时数据遭窃取。
3.服务器信息安全管理:
(1)设定防火墙以控管外界与单位内网络间之数据传输与资源存取,并关闭不使用的通讯端口,以避免病毒感染及黑客攻击。
(2)开放外界连线作业之服务器主机,应避免外界直接进入信息系统或数据库存取数据。
(3)服务器主机管理之安全性,应视需要之使用情况,加密通道(VPN)等各种安全控管技术。
(4)各单位开发之系统及网站(含委外开发),应于完成后,先执行弱点扫描与完成修补风险弱点始可上线;运作中网站亦请定期
进行必要的系统及网站弱点扫瞄。
(5)重要系统配置文件、网页数据、服务器档案、数据库及机敏性档案数据均应订定备份周期,并依据周期执行系统排程或手动
备份。
(五)人员使用安全教育与训练:
1.针对新进员工需进行信息安全教育训练,使新进员工了解信息安全的重要性及各种可能的安全风险,并遵守公司相关信息安全
规定。
2.每年两次或两次以上(总时数达三小时以上)定期对员工进行信息安全教育倡导,以提高人员对信息安全之认知的重要性,与防范
各种可能会发生的信息安全意外。