資訊安全政策及管理方案
資訊安全政策及管理方案
- 資訊安全風險管理架構
本公司資訊安全之權責單位為資訊部,負責規劃、執行及推動資訊安全管理事項,並推展資訊安全意識。
本公司稽核室為資訊安全監理之查核單位,若查核發現缺失,旋即要求受查單位提出相關改善計畫及追蹤改善成效,並定期呈報董事會,以降低內部資安風險。本公司已於111年12月22日向董事會報告。
組織運作模式-採 PDCA (Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善。
本公司稽核室為資訊安全監理之查核單位,若查核發現缺失,旋即要求受查單位提出相關改善計畫及追蹤改善成效,並定期呈報董事會,以降低內部資安風險。本公司已於111年12月22日向董事會報告。
組織運作模式-採 PDCA (Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善。
- 資訊安全政策
為貫徹本公司各項資訊管理制度能有效運作執行,並維護重要資訊系統的安全,以確保資訊系統、設備網路之安全維運,達到永續經營目的。
- 本公司之資訊安全管理措施
近年資安風險頻傳,本公司以嚴謹負責的態度建立一套全方位之防護系統,其範圍包含最低層之員工電腦至最高層之對外網路端點。但由於第三方網路攻擊方式不斷的變化與推陳出新,防護系統並無法保證能永遠不遭受外來之網路攻擊與侵入風險,此風險或能導致公司機密外洩,或遭病毒勒索軟體之騷擾,或干擾公司生產營運造成營業損失。
針對上述風險,本公司採取以下必要之管理措施:
1.制訂相關資訊安全措施辦法,並全面性追蹤檢討以補既有防護系統之不足。
2.定期檢視現有資安設備及軟體保持最佳防護狀態。
3.與專業第三方服務廠商簽訂維護運作合約,定期維護設備及更新防護系統資料。
4.確實執行系統週期性資料備份作業並兼採異地存放措施,確保資料復原無虞。
5.定期實施災難復原計畫,透過演練以期縮短風險時間,降低營運損失。
6.辦理資訊安全教育訓練及宣導,建立員工資訊安全認知。
2.定期檢視現有資安設備及軟體保持最佳防護狀態。
3.與專業第三方服務廠商簽訂維護運作合約,定期維護設備及更新防護系統資料。
4.確實執行系統週期性資料備份作業並兼採異地存放措施,確保資料復原無虞。
5.定期實施災難復原計畫,透過演練以期縮短風險時間,降低營運損失。
6.辦理資訊安全教育訓練及宣導,建立員工資訊安全認知。
- 本公司投入資通安全管理之資源
1.網路硬體設備如防火牆、郵件防毒、垃圾郵件過濾。
2.軟體系統如端點防護系統、備份管理軟體等。
3.投入人力如:每日各系統狀態檢查、定期備份及備份媒體異地存放之執行、每月資安宣導、每年系統災難復原模擬演練、每年對資訊循環之內部稽核、會計師稽核等。
4.資安人力:資訊主管一名及資訊工程師一名,負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂。
2.軟體系統如端點防護系統、備份管理軟體等。
3.投入人力如:每日各系統狀態檢查、定期備份及備份媒體異地存放之執行、每月資安宣導、每年系統災難復原模擬演練、每年對資訊循環之內部稽核、會計師稽核等。
4.資安人力:資訊主管一名及資訊工程師一名,負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂。