【資訊安全風險管理架構】
本公司資訊安全相關政策、計畫、措施及技術規範,以及安全技術之研究、建置及評估相關事項,由資訊部負責辦理。資料及資訊系統之安全需求研議、使用管理及保護等事項,由業務單位負責辦理。稽核資訊安全使用管理事項,由稽核室負責辦理。使用單位對於資訊資產之使用,必須依據權責單位要求,並具有正確使用操作之責任。
每月資訊部於主管會議報告資訊作業與執行結果。
每年稽核室會進行內部稽核,若發現缺失,會要求受查單位改善措施並追蹤改善結果。
每年會計師會進行資訊作業查核,若發現缺失,會要求改善措施並追蹤改善結果。
【資訊安全政策】
(一)目的
為維護公司整體資訊安全環境,強化各項資訊資產之安全管理及建立便利、安全的電子工作環境,以確保資料、系統、設備及網路的安全,資訊設備的適當安置及資訊安全實務作業的可行性與有效性。
(二)範圍
本公司資訊安全管理範圍,包括本公司各項資訊資產(含軟、硬體設備)及正式員工、臨時員工、聘僱人員、外部廠商及其他經授權使用資訊資產之人員等資訊使用者。
(三)定義與目標
綜合考量各項資訊資產之重要性及價值,以及因人為疏失、蓄意或自然災害等風險,導致公司資訊財產遭不當利用、資料洩漏、惡意竄改、損壞等,影響及危害本公司業務之程度,採與資訊資產價值相稱及具成本效益之管理、作業及技術等安全措施。避免資訊系統遭受內、外部人員不當使用或蓄意破壞,或發生資訊安全事件時,公司能迅速應變處置,降低資安事件可能帶來之經濟損害及營運中斷。
【資訊安全具體管理方案】
(一)主機系統安全:
1.為確保主機作業平台及資料庫之安全,使操作程序標準化,應不定期檢查主機狀況或委外定期保養,且重要主機需有備援或
備份機制。
2.時常檢查電腦是否有不明程式啟動執行,不要開啟無法確定及不必要的服務,如.zip,.exe,.scr,.vbs…等,避免遭受植入
木馬程式。
3.定期檢視更新系統安全修補、防毒軟體及防毒碼,保持更新至最新狀態,勿自行關閉系統自動更新程式,以維持系統正常運作。
4.個人電腦不使用時,需採用密碼保護、鎖定或登出離線等安全措施。
5.禁止使用點對點互連(P2P)、tunnel相關工具或任何有危害單位網路、設備及造成網路壅塞佔用頻寬等軟體及架站軟體(FTP)作
私人用途。
(二)網路安全與電腦病毒防範:
1.為確保網路服務及使用之安全,對新進人員進行教育訓練且不定期發佈相關網路安全宣導。
2.所有電腦皆需安裝公司所購買正式版權的防毒軟體,進行電腦的防制及定期偵測,防止電腦病毒等惡意軟體的侵入。
(三)日常作業之安全管理:
1.資料備份:
(1)定期對重要資料進行備援動作,以防發生意外或儲存媒體失效。
(2)備援資料除存放在主作業區之外亦需有異地的備援機制存在,以防主要作業場所發生意外。
(3)不定期進行測試備份資料,以確保備份資料的可用性。
2.密碼設定原則:
(1)電腦設備應設定帳號密碼並定期檢查,密碼建議每3個月更新一次。
(2)設定原則密碼建議長度至少8個字元,且包含文數字等。
3.環境安全管理控管:
(1)為確保相關設施之安全,非單位指定之人員不得擅自進入機房或使用相關資訊設備。
(四)網路安全規劃與管理:
1.網路安全規劃:
(1)應建立電腦網路系統的安全控管機制,以確保網路傳輸資料的安全,保護連網作業,且防止未經授權的系統存取。
(2)對於跨組織、地區之電腦網路系統,應特別加強網路安全管理。
2.防火牆安全管理:
(1)與外界網路連結的接口應加裝防火牆,以控管資料傳輸與資源存取。
(2)防火牆應由網路管理員管理且禁止由遠端登入,以避免登入時資料遭竊取。
3.伺服器資訊安全管理:
(1)設定防火牆以控管外界與單位內網路間之資料傳輸與資源存取,並關閉不使用的通訊埠,以避免病毒感染及駭客攻擊。
(2)開放外界連線作業之伺服器主機,應避免外界直接進入資訊系統或資料庫存取資料。
(3)伺服器主機管理之安全性,應視需要之使用情況,加密通道(VPN)等各種安全控管技術。
(4)各單位開發之系統及網站(含委外開發),應於完成後,先執行弱點掃描與完成修補風險弱點始可上線;運作中網站亦請定期
進行必要的系統及網站弱點掃瞄。
(5)重要系統設定檔、網頁資料、伺服器檔案、資料庫及機敏性檔案資料均應訂定備份週期,並依據週期執行系統排程或手動
備份。
(五)人員使用安全教育與訓練:
1.針對新進員工需進行資訊安全教育訓練,使新進員工瞭解資訊安全的重要性及各種可能的安全風險,並遵守公司相關資訊安全規定。
2.每年兩次或兩次以上(總時數達三小時以上)定期對員工進行資訊安全教育宣導,以提高人員對資訊安全之認知的重要性,與防範各種
可能會發生的資訊安全意外。