資訊安全政策

資訊安全風險管理架構

資訊安全單位之管理架構(依其權責範圍之廣狹,由上而下分為三級):

  • 1. 資訊安全委員會:主席為資安長,各群部主管為委員會當然成員,得設置副資安長若干人。
    • 甲、資訊安全委員會所管轄之資訊安全範圍最廣,包含ISO27001或CNS27001認證所包含之全部範圍(如因門禁缺失而造成PC被竊等非屬資訊部權責範圍之資安事件)。
    • 乙、資訊部與資訊部系統服務組為資訊安全委員會運作之主要幕僚機關與主要執行機關。
    • 丙、資訊部以外之其他部門依其職責範圍,亦為執行全公司資訊安全政策之重要部門,因而需設置資訊安全委員會,以為全公司資訊安全之最高權力與負責機關。

  • 2. 資訊部:設部長一人,下設系統服務組、工務組、業務組、財會組、人資組、一般支出與進銷存組等,部長對於資訊部權責範圍(資訊部內控辦法)內之資訊安全事務負責。
  • 3. 資訊部系統服務組:設組長一人,組員若干人。
    • 甲、本組負責公司之網路基礎架構 (包含對外網路、防火牆、網路交換器等設施)、系統與資料庫伺服器管理(包含備援規劃與備份),各項電腦、網路、資訊設備之維護與權限管理等;於電腦化資訊系統處理作業(現有之資訊部內控辦法)主要涉及領域包含:七、檔案及設備之安全控制,八、硬體及系統軟體之購置、使用及維護之控制,九、系統復原計畫制度及測試程序之控制,十、資通安全檢查之控制。
    • 乙、防毒防駭與資訊安全觀念之宣導就是本組之主要職責之一。

PDCA

本公司資訊安全運作模式採用 PDCA(Plan-Do-Check-Act)方式管理,確保目標達成且持續改善。

PDCA

資訊部系統服務組於每年年底前,提出次年之資訊安全計畫(含定期防護措施與改善計畫),經資訊部、資訊安全委員會與總經理審核通過。並於次年每季向資訊部部長、資訊安全委員會與總經理報告資訊安全計畫執行進度

稽核室依據「公開發行公司建立內部控制制度處理準則」規定,將「資通安全檢查之控制」納入年度稽核計劃,並依所排定期程進行查核作業,若有發現缺失/風險,即請受查單位及協同作業單位進行檢討,提出具體改善計劃及時程,定期追蹤改善進度,以落實公司資訊安全政策。

資訊安全政策

本公司資訊安全管理機制,包含以下三個面向:
(一)制度規範:訂定公司資訊安全管理制度,規範人員作業行為。
(二)硬體建置:建置資訊安全管理系統,落實資安管理措施。
(三)人員訓練:定期進行資訊安全教育訓練,以提昇全體同仁資安意識。


資訊安全管理措施:

制度規範:本公司內部訂定相關資訊安全規範與制度,以規範本公司人員資訊安全行為,每年定期檢視相關制度是否符合法規與營運環境變遷,並依需求適時調整。
硬體建置:本公司為防範各種外部資安威脅,除採多層式網路架構設計外,更建置各式資安防護系統,以提昇整體資訊環境之安全性。
人員訓練:本公司每半年開設資訊安全教育訓練課程,所有同仁每年最少應修習前述課程一次,因工作關係而無法參與前述實體課程者,本公司另設有資訊安全之線上學習 (E-Learning)課程,藉以提昇內部人員資安知識與專業技能。同仁如未經由前述實體或線上課程完成該年度之資訊安全課程者,資訊部與管理部將列管追蹤,並列為年度考績之檢核項目。


本公司目前資訊安全相關具體執行措施如下:

項目 具體管理方式

防火牆防護

  • 防火牆設定連線規則。
  • 如有特殊連線需求需額外申請開放。
  • 監控分析防火牆數據報告。

使用者上網控管機制

  • 使用自動網站防護系統控管使用者上網行為。
  • 自動過濾使用者上網可能連結到有木馬病毒、勒索病毒或惡意程式的網站。

防毒軟體

  • 使用多種防毒軟體,並自動更新病毒碼,降低病毒感染機會。

作業系統更新

  • 作業系統自動更新,因故未更新者,由資訊部協助更新。

郵件安全管控

  • 有自動郵件掃描威脅防護,在使用者接收郵件之前,事先防範不安全的附件檔案、釣魚郵件、垃圾郵件,及擴大防止惡意連結的保護範圍。
  • 個人電腦接收郵件後,防毒軟體也會掃描是否包含不安全的附件檔案。

網站防護機制

  • 網站有防火牆裝置阻擋外部網路攻擊。

資料備份機制

  • 重要資訊系統資料庫皆設定每日完整備份、每小時差異備份。
  • 定期執行資料回復演練。

異地存放

  • 伺服器與各項資訊系統備份檔,分開存放於分公司。

重要檔案上傳伺服器

  • 公司內各部門重要檔案上傳伺服器存放,由資訊部統一備份保存。

資訊中心檢查紀錄表

  • 資訊中心檢查紀錄表紀錄機房溫溼度、資料備份、防毒軟體更新、網路流量等紀錄。

資安聯防

  • 申請加入台灣電腦網路危機處理暨協調中心(TWCERT/CC),作為資安情資分享、資安宣導活動之來源管道。

資安事件通報程序

本公司資通安全通報程序如下,資安事故之通報與處理,皆遵守該程序之規範進行。


資安通報