資訊安全政策
資訊安全風險管理架構
資訊安全單位之管理架構(依其權責範圍之廣狹,由上而下分為三級):
- 1. 資訊安全委員會:主席為資安長,各群部主管為委員會當然成員,得設置副資安長若干人。
- 甲、資訊安全委員會所管轄之資訊安全範圍最廣,包含ISO27001或CNS27001認證所包含之全部範圍(如因門禁缺失而造成PC被竊等非屬資訊部權責範圍之資安事件)。
- 乙、資訊部與資訊部系統服務組為資訊安全委員會運作之主要幕僚機關與主要執行機關。
- 丙、資訊部以外之其他部門依其職責範圍,亦為執行全公司資訊安全政策之重要部門,因而需設置資訊安全委員會,以為全公司資訊安全之最高權力與負責機關。
- 2. 資訊部:設部長一人,下設系統服務組、工務組、業務組、財會組、人資組、一般支出與進銷存組等,部長對於資訊部權責範圍(資訊部內控辦法)內之資訊安全事務負責。
- 3. 資訊部系統服務組:設組長一人,組員若干人。
- 甲、本組負責公司之網路基礎架構 (包含對外網路、防火牆、網路交換器等設施)、系統與資料庫伺服器管理(包含備援規劃與備份),各項電腦、網路、資訊設備之維護與權限管理等;於電腦化資訊系統處理作業(現有之資訊部內控辦法)主要涉及領域包含:七、檔案及設備之安全控制,八、硬體及系統軟體之購置、使用及維護之控制,九、系統復原計畫制度及測試程序之控制,十、資通安全檢查之控制。
- 乙、防毒防駭與資訊安全觀念之宣導就是本組之主要職責之一。
- 甲、資訊安全委員會所管轄之資訊安全範圍最廣,包含ISO27001或CNS27001認證所包含之全部範圍(如因門禁缺失而造成PC被竊等非屬資訊部權責範圍之資安事件)。
- 乙、資訊部與資訊部系統服務組為資訊安全委員會運作之主要幕僚機關與主要執行機關。
- 丙、資訊部以外之其他部門依其職責範圍,亦為執行全公司資訊安全政策之重要部門,因而需設置資訊安全委員會,以為全公司資訊安全之最高權力與負責機關。
- 甲、本組負責公司之網路基礎架構 (包含對外網路、防火牆、網路交換器等設施)、系統與資料庫伺服器管理(包含備援規劃與備份),各項電腦、網路、資訊設備之維護與權限管理等;於電腦化資訊系統處理作業(現有之資訊部內控辦法)主要涉及領域包含:七、檔案及設備之安全控制,八、硬體及系統軟體之購置、使用及維護之控制,九、系統復原計畫制度及測試程序之控制,十、資通安全檢查之控制。
- 乙、防毒防駭與資訊安全觀念之宣導就是本組之主要職責之一。
本公司資訊安全運作模式採用 PDCA(Plan-Do-Check-Act)方式管理,確保目標達成且持續改善。
資訊部系統服務組於每年年底前,提出次年之資訊安全計畫(含定期防護措施與改善計畫),經資訊部、資訊安全委員會與總經理審核通過。並於次年每季向資訊部部長、資訊安全委員會與總經理報告資訊安全計畫執行進度
稽核室依據「公開發行公司建立內部控制制度處理準則」規定,將「資通安全檢查之控制」納入年度稽核計劃,並依所排定期程進行查核作業,若有發現缺失/風險,即請受查單位及協同作業單位進行檢討,提出具體改善計劃及時程,定期追蹤改善進度,以落實公司資訊安全政策。
資訊安全政策
本公司資訊安全管理機制,包含以下三個面向:
(一)制度規範:訂定公司資訊安全管理制度,規範人員作業行為。
(二)硬體建置:建置資訊安全管理系統,落實資安管理措施。
(三)人員訓練:定期進行資訊安全教育訓練,以提昇全體同仁資安意識。
資訊安全管理措施:
制度規範:本公司內部訂定相關資訊安全規範與制度,以規範本公司人員資訊安全行為,每年定期檢視相關制度是否符合法規與營運環境變遷,並依需求適時調整。
硬體建置:本公司為防範各種外部資安威脅,除採多層式網路架構設計外,更建置各式資安防護系統,以提昇整體資訊環境之安全性。
人員訓練:本公司每半年開設資訊安全教育訓練課程,所有同仁每年最少應修習前述課程一次,因工作關係而無法參與前述實體課程者,本公司另設有資訊安全之線上學習 (E-Learning)課程,藉以提昇內部人員資安知識與專業技能。同仁如未經由前述實體或線上課程完成該年度之資訊安全課程者,資訊部與管理部將列管追蹤,並列為年度考績之檢核項目。
本公司目前資訊安全相關具體執行措施如下:
| 項目 | 具體管理方式 |
|---|---|
|
防火牆防護 |
|
|
使用者上網控管機制 |
|
|
防毒軟體 |
|
|
作業系統更新 |
|
|
郵件安全管控 |
|
|
網站防護機制 |
|
|
資料備份機制 |
|
|
異地存放 |
|
|
重要檔案上傳伺服器 |
|
|
資訊中心檢查紀錄表 |
|
|
資安聯防 |
|
資安事件通報程序
本公司資通安全通報程序如下,資安事故之通報與處理,皆遵守該程序之規範進行。
