資訊安全風險管理架構
本公司設置資安專責單位編制專責主管、專責人各1員,依據資訊安全政策擬定並執行各項具體管理措施以降低資安風險,並定期向董事會、董事長、總經理進行資訊安全防護執行情形及資通安全事件報告。
通報程序
資訊安全政策
為保護本公司所有資通系統與電子資料,包含硬體設備、作業軟體、網路、電子檔案、紀錄等安全,免於遭受破壞、洩漏、盜取或勒索...等資訊安全風險,特制定本政策。
本公司應採取措施如下:
- 恪遵法令制定相關資訊安全管理規則,對本公司之資訊系統及電子資料執行適當之保護措施,以確保其機密性、完整性、可用性及合法性。
- 評估各種人為及天然災害對本公司資訊系統之影響,並訂定相關防範對策與災害復原計劃,確保公司業務持續運作。
- 督導本公司員工落實資訊安全防護工作,提升員工對資訊安全認知。
- 要求本公司員工、使用或連結本公司資訊系統之外部人,應確實遵守本公司資訊安全相關規定,如有違反者,視其情況依公司相關規定或契約罰則辦理,情節嚴重者另依法律追訴。
具體管理方法
- 防火牆
-防火牆設定連線規則阻擋外部攻擊入侵。
-設定上網政策防止人員連結有害網址。
- 防毒軟體
-使用防毒軟體,並自動更新病毒碼,降低病毒感染機會。
- 系統/檔案存取
-作業系統設定登入帳號、密碼、分級存取權限,密碼強度應符合安全規則並定期更改。
- 郵件安全控管
-自動郵件掃描威脅防護。
-設置垃圾郵件過濾系統。
- 資料備份機制
-重要資訊系統資料庫皆設定每日備份。
-公司主機及資料庫設置異地備援。
- 應變復原機制
-每年定期演練系統災害復原。
- 教育訓練
-資安人員,每年接受回訓,熟悉資安軟硬體操作維護。(本年度累計4次,共20小時)
-加入台灣 CERT/CSIRT 聯盟,參與資安情資分享、參加資安宣導活動。
- 定期報告
-資訊安全防護執行情形已於2024/12/10向董事會報告。
