目的
本公司為強化資訊安全管理,確保資料、系統、設備及網路安全,特訂定本政策,並依公開發行公司建立內部控制制度處理準則第9條規定,訂有各項控制作業程序,本公司電腦資訊系統之管理由資訊組負責。
適用範圍
資安風險之評估說明
隨著公司在營運上越來越仰賴系統化並經常透過網路執行各項業務下,資訊安全由期重要,資安威脅與日劇增,積極提升資安防護能量,建立有效的資訊安全管理機制,其目的除避免公司資源浪費與損失,防止商譽或形象受損外,更以改進營運作業流程,提高作業效能為積極目標。
資安風險之因應措施
|
類別 |
風險評估 |
已存在控制措施 |
|
權限管理 |
資料未授權存取 |
.人員帳權限管理及審核 .人員帳號權限定期盤點 |
|
存取管控 |
存取內外部系統及資料傳輸管控不足,造成資料損壞及外洩 |
.內/外系統存取及資料外洩,設定更嚴謹帳號權限管控 .操作行爲軌跡記錄分析 |
|
外部威脅 |
伺服器及PC病毒侵犯
|
.伺服器/個人電腦弱點檢測 .病毒防護及惡意程式偵測 .定期更新病毒程式碼 |
|
應用系統 |
系統與服務中斷時 |
.系統/網路可用狀態監控及通報機制 .啟變應變措施 .資料備份備援措施,本/異地備援機制 .定期災害還原演練 |
|
郵件系統 |
郵件被攻擊、垃圾氾濫 |
.建置垃圾郵件過濾防堵系統(建立 SPM系統) |
|
員 工
|
資安觀念不足,造成中毒 |
.加強資安觀念及教育訓練 .管制個人電腦軟體安裝,防堵非授權使用的軟體 |