信息安全风险管理

信息安全风险管理

【资讯安全风险管理架构】

本公司资讯安全相关政策、计画、措施及技术规范,以及安全技术之研究、建置及评估相关事项,由资讯部负责办理。资料及

资讯系统之安全需求研议、使用管理及保护等事项,由业务单位负责办理。稽核资讯安全使用管理事项,由稽核室负责办理。

使用单位对于资讯资产之使用,必须依据权责单位要求,并具有正确使用操作之责任。

每月资讯部于主管会议报告资讯作业与执行结果。

每年稽核室会进行内部稽核,若发现缺失,会要求受查单位改善措施并追踪改善结果。

每年会计师会进行资讯作业查核,若发现缺失,会要求改善措施并追踪改善结果。

【资讯安全政策】

(一)目的

为维护公司整体资讯安全环境,强化各项资讯资产之安全管理及建立便利、安全的电子工作环境,以确保资料、系统、设备及

网路的安全,资讯设备的适当安置及资讯安全实务作业的可行性与有效性。

(二)范围

本公司资讯安全管理范围,包括本公司各项资讯资产(含软、硬体设备)及正式员工、临时员工、聘雇人员、外部厂商及其他经

授权使用资讯资产之人员等资讯使用者。

(三)定义与目标

综合考量各项资讯资产之重要性及价值,以及因人为疏失、蓄意或自然灾害等风险,导致公司资讯财产遭不当利用、资料泄漏

、恶意窜改、损坏等,影响及危害本公司业务之程度,采与资讯资产价值相称及具成本效益之管理、作业及技术等安全措施。

避免资讯系统遭受内、外部人员不当使用或蓄意破坏,或发生资讯安全事件时,公司能迅速应变处置,降低资安事件可能带来

之经济损害及营运中断。

【资讯安全具体管理方案】

(一)主机系统安全:

      1.为确保主机作业平台及资料库之安全,使操作程序标准化,应不定期检查主机状况或委外定期保养,且重要主机需有备援

      或备份机制。

      2.时常检查电脑是否有不明程式启动执行,不要开启无法确定及不必要的服务,如.zip,.exe,.scr,.vbs…等,避免遭受植

      入木马程式。

      3.定期检视更新系统安全修补、防毒软体及防毒码,保持更新至最新状态,勿自行关闭系统自动更新程式,以维持系统正常

      运作。

      4.个人电脑不使用时,需采用密码保护、锁定或登出离线等安全措施。

      5.禁止使用点对点互连(P2P)、tunnel相关工具或任何有危害单位网路、设备及造成网路壅塞占用频宽等软体及架站软体

      (FTP)作私人用途。

(二)网路安全与电脑病毒防范:

      1.为确保网路服务及使用之安全,对新进人员进行教育训练且不定期发布相关网路安全宣导。

      2.所有电脑皆需安装公司所购买正式版权的防毒软体,进行电脑的防制及定期侦测,防止电脑病毒等恶意软体的侵入。

(三)日常作业之安全管理:

      1.资料备份:

       (1)定期对重要资料进行备援动作,以防发生意外或储存媒体失效。

       (2)备援资料除存放在主作业区之外亦需有异地的备援机制存在,以防主要作业场所发生意外。

       (3)不定期进行测试备份资料,以确保备份资料的可用性。

      2.密码设定原则:

       (1)电脑设备应设定帐号密码并定期检查,密码建议每3个月更新一次。

       (2)设定原则密码建议长度至少8个字元,且包含文数字等。

      3.环境安全管理控管:

       (1)为确保相关设施之安全,非单位指定之人员不得擅自进入机房或使用相关资讯设备。

(四)网路安全规划与管理:

      1.网路安全规划:

       (1)应建立电脑网路系统的安全控管机制,以确保网路传输资料的安全,保护連网作业,且防止未经授权的系统存取。

       (2)对于跨组织、地区之电脑网路系统,应特别加强网路安全管理。

      2.防火墙安全管理:

       (1)与外界网路连结的接口应加装防火墙,以控管资料传输与资源存取。

       (2)防火墙应由网路管理员管理且禁止由远端登入,以避免登入时资料遭窃取。

      3.伺服器资讯安全管理:

       (1)设定防火墙以控管外界与单位内网路间之资料传输与资源存取,并关闭不使用的通讯埠,以避免病毒感染及骇客攻击。

       (2)开放外界连线作业之伺服器主机,应避免外界直接进入资讯系统或资料库存取资料。

       (3)伺服器主机管理之安全性,应视需要之使用情况,加密通道(VPN)等各种安全控管技术。

       (4)各单位开发之系统及网站(含委外开发),应于完成后,先执行弱点扫描与完成修补风险弱点始可上线;运作中网站亦请定

       期进行必要的系统及网站弱点扫瞄。

       (5)重要系统设定档、网页资料、伺服器档案、资料库及机敏性档案资料均应订定备份周期,并依据周期执行系统排程或手

       动备份。

(五)人员使用安全教育与训练:

       (1)针对新进员工需进行资讯安全教育训练,使新进员工了解资讯安全的重要性及各种可能的安全风险,并遵守公司相关资

       讯安全规定。

       (2)每年两次或两次以上(总时数达三小时以上)定期对员工进行资讯安全教育宣导,以提高人员对资讯安全之认知的重要性,

       与防范各种可能会发生的资讯安全意外。

【投入资通安全管理之资源】

资讯安全已为公司营运重要议题,对应资安管理事项及投入之资源方案如下:

(一)专责人力:设有专职之企业组织「资安小组」10位,负责公司资讯安全规划、技术导入与相关的稽核事项,以维护及持续强

化资讯安全。

(二)认证:通过ISO27001资讯安全认证,相关资安稽核无重大缺失。

(三)客户满意:无重大资安事件,无违反客户资料遗失之投诉案件。

(四)教育训练:所有新进员工到职前皆完成资讯安全教育训练课程;全体员工皆完成二次线上资讯安全教育训练及考核;年度共

计执行四次社交工程钓鱼邮件测试。

(五)资安公告:制作超过五份资安公告,传达资安防护重要规定与注意事项。

(六)供应链:所有新进承揽商均完成翔名公司资安规定之教育训练。