資訊安全風險管理
資訊安全風險管理

資訊安全風險管理架構

本公司資訊安全之權責單位為資訊處,該處設置資訊主管乙名與專業資訊人員數名,負責訂定、推動與落實資訊安全政策。
本公司稽核室為資訊安全風險之查核單位,該室設置稽核主管乙名,負責督導及查核內部資安執行狀況。
依據「公開發行公司建立內部控制制度處理準則」規定,將「資通安全檢查之控制」納入年度稽核計劃,並依所排定期程進行查核作業。
若有發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。

 

資訊安全政策

為貫徹本公司各項資訊管理制度能有效運作執行,維護重要資訊系統的機密性、完整性、可用性,以確保資訊系統之安全維運,達到永續經營目的。
本公司資訊安全政策包含以下三個面向:

(一)制度規範:訂定「資訊作業管理辦法」,以規範本公司人員資訊安全行為,每年定期檢視相關制度是否符合法規與營運環境變遷,並依需求適時調整。

(二)資安防護系統建置:為防範各種外部資安威脅,除採多層式網路架構設計外,更建置各式資安防護系統,以提昇整體資訊環境之安全性。

(三)人員資安意識訓練:為降低內部人為因素對資訊安全之影響,資訊處會定期對員工實施資訊安全教育訓練及宣導,以提昇全體同仁對資訊安全之認知及意識。


具體管理方案

 



項目 具體管理方案
終端安全管理 位於內部之主機及端點皆由主控台統一佈署防毒軟體,隨時更新病毒碼與辨識惡意行為特徵,能即時攔截病毒、木馬蠕蟲、勒索軟體、文件夾帶之惡意程式等,有效降低被駭客攻擊損害之風險。
網路存取安全管理 公司內部系統皆位於虛擬網路之中,外部網路受隔離無法直接進入,並已採用多重網路安全防禦系統,位於網路前端之防火牆、入侵防禦系統能防禦外部網路攻擊,並即時封鎖最新惡意軟體及有害之網站連結等威脅。
系統存取帳號安全管理
  1. 本公司同仁皆以員工專屬帳號登入電腦進行系統作業或使用網路服務。資訊系統皆設定通行密碼,並要求使用者定期更改通行密碼。
  2. 依各業務範圍、權責分別設定使用者帳號之權限,資料之存取皆需透過簽核流程經各權責主管申請並核准後始能使用與變更。使用者一旦離開原職務,立即撤銷該使用者之帳號及權限,以防範未經授權之使用。
實體設備及環境安全管理 電腦主機及其相關儲存與網路連結設備設置於專用機房,該機房設有環境監測系統並使用穩壓與不斷電系統供應電力,以避免電壓不穩定或瞬間斷電造成損害。機房由資訊處負責管理,未經授權不可隨意進入。



資安風險預防措施

  • 系統與文件皆採取每日、每週及每月之本地備份且定期將備份媒體送往異地保存。每年定期執行系統資料復原測試演練以確保資訊系統之正常運作及資料保全,可降低無預警天災及人為疏失造成之資料損失風險。
  • 如發生資訊安全事件,致資訊系統無法運作或影響執行效率時,會由資訊單位召集各相關單位編成資訊安全事件應變處理小組進行應變處理作業。
  • 考量資安險仍是新興險種,理賠鑑識機構仍不明確且理賠條件無法適用所有資安事件,暫未投保資安險。在無投保資安險的情況下,為了降低可能發生資安事件所產生的危害,對內建立警示系統,於特定資訊安全事件發生時,能立即產生警示訊號通知系統管理人員,進而採取有效的防護措施,以減少人為疏失導致資安危害事件。