資通安全管理

資通安全管理

1.    資通安全風險管理架構：受科技發展影響，資訊安全已成為企業重要課題，本公司為維護公司資訊系統，確保公司順利運作由資訊處負責統籌資訊安全，擬定相關控制程序與管理事宜，並定期進行資訊安全檢核。

2.    資訊安全管理系統：為展現對資安重視程度，並與國際資安標準接軌，已於112年展開ISO27001資訊安全管理系統導入，以強化資訊安全事件之應變能力，保護公司與客戶之資產安全。

3.    資通安全政策：

(1)目的：為建置本公司安全及可信賴的資訊系統運作環境，維持正常營運，降低作業與流程風險，並保障資訊服務客戶,供應商與使用者之權益，建立資訊安全管理系統，以達成資訊安全管理的目標。

(2)範圍：本公司資訊安全管理範圍，包括本公司所屬各據點資訊作業之相關人員、管理制度、應用程式、資料、文件、媒體儲存、硬體設備及網路設施等標的。

(3)目標：避免資訊系統遭受來自內、外部人員使用不當或蓄意破壞，或已遭受不當使用、蓄意破壞等緊急事故時，公司能快速應變處置，且在最短時間內回復正常運作，降低該事故可能帶來之損失與營運風險。

(4)程序：執行資訊機房、網路安全、系統開發及程式修改、資料安全、資訊保密、資訊委外等管理。

4.    具體管理方案及投入資通安全管理之資源：

(1)強化網路與網頁安全（防火牆與入侵偵測系統、VPN連線、網站弱點掃瞄）。

(2)加強端點安全（端點管控系統、防毒軟體防護、網站管控、即時通訊管控、落實Windows更新）。

(3)資料外洩保護（文件分級與分權使用、可攜式儲存裝置管控）。

(4)電子郵件安全（垃圾、病毒或釣魚郵件阻擋、郵件備存機制）。

(5)增強IT基礎架構（伺服器及網路叢集架構建立、資料異地備份）。

(6)還原演練（檔案、資料庫與系統異機還原演練）。

(7)提升資安意識（定期宣導、學分制教育訓練、社交工程演練）。

除上述強化專案外，本公司落實執行各項既定資訊政策，包括不定期參與資訊安全研討會，以了解最新資訊安全問題、趨勢及相關強化措施，以持續強化與改善資訊安全管理。