资讯安全政策及管理方案
资讯安全政策及管理方案
- 资讯安全风险管理架构
本公司资讯安全之权责单位为资讯部,负责规划、执行及推动资讯安全管理事项,并推展资讯安全意识。
本公司稽核室为资讯安全监理之查核单位,若查核发现缺失,旋即要求受查单位提出相关改善计画及追踪改善成效,并定期呈报董事会,以降低内部资安风险。本公司已于111年12月22日向董事会报告。
组织运作模式-采PDCA (Plan-Do-Check-Act)循环式管理,确保可靠度目标之达成且持续改善。
本公司稽核室为资讯安全监理之查核单位,若查核发现缺失,旋即要求受查单位提出相关改善计画及追踪改善成效,并定期呈报董事会,以降低内部资安风险。本公司已于111年12月22日向董事会报告。
组织运作模式-采PDCA (Plan-Do-Check-Act)循环式管理,确保可靠度目标之达成且持续改善。
- 资讯安全政策
为贯彻本公司各项资讯管理制度能有效运作执行,并维护重要资讯系统的安全,以确保资讯系统、设备网路之安全维运,达到永续经营目的。
- 本公司之资讯安全管理措施近年资安风险频传,本公司以严谨负责的态度建立一套全方位之防护系统,其范围包含最低层之员工电脑至最高层之对外网路端点。但由于第三方网路攻击方式不断的变化与推陈出新,防护系统并无法保证能永远不遭受外来之网路攻击与侵入风险,此风险或能导致公司机密外泄,或遭病毒勒索软体之骚扰,或干扰公司生产营运造成营业损失。
针对上述风险,本公司采取以下必要之管理措施:
1.制订相关资讯安全措施办法,并全面性追踪检讨以补既有防护系统之不足。
2.定期检视现有资安设备及软体保持最佳防护状态。
3.与专业第三方服务厂商签订维护运作合约,定期维护设备及更新防护系统资料。
4.确实执行系统周期性资料备份作业并兼采异地存放措施,确保资料复原无虞。
5.定期实施灾难复原计画,透过演练以期缩短风险时间,降低营运损失。
6.办理资讯安全教育训练及宣导,建立员工资讯安全认知。
2.定期检视现有资安设备及软体保持最佳防护状态。
3.与专业第三方服务厂商签订维护运作合约,定期维护设备及更新防护系统资料。
4.确实执行系统周期性资料备份作业并兼采异地存放措施,确保资料复原无虞。
5.定期实施灾难复原计画,透过演练以期缩短风险时间,降低营运损失。
6.办理资讯安全教育训练及宣导,建立员工资讯安全认知。
- 本公司投入资通安全管理之资源
1.网路硬体设备如防火墙、邮件防毒、垃圾邮件过滤。
2.软体系统如端点防护系统、备份管理软体等。
3.投入人力如:每日各系统状态检查、定期备份及备份媒体异地存放之执行、每月资安宣导、每年系统灾难复原模拟演练、每年对资讯循环之内部稽核、会计师稽核等。
4.资安人力:资讯主管一名及资讯工程师一名,负责资安架构设计、资安维运与监控、资安事件回应与调查、资安政策检讨与修订。
2.软体系统如端点防护系统、备份管理软体等。
3.投入人力如:每日各系统状态检查、定期备份及备份媒体异地存放之执行、每月资安宣导、每年系统灾难复原模拟演练、每年对资讯循环之内部稽核、会计师稽核等。
4.资安人力:资讯主管一名及资讯工程师一名,负责资安架构设计、资安维运与监控、资安事件回应与调查、资安政策检讨与修订。