聚亨企業股份有限公司

Company Governance公司治理

目    的

本公司為強化資訊安全管理,確保資料、系統、設備及網路安全,特訂定本政策,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,特制定此政策規範。

適用範圍

  • 資訊安全程序。
  • 資通安全檢查控制。
  • 資訊安全人員權責。
  • 管控公司電腦硬體、軟體安全。
  • 監控系統使用,預防不法侵入篡改系統資料。
  • 依通知刪除離職員工系統權限,並定期查核。

資訊安全風險管理架構

  • 爲有效推行資訊安全工作,由資訊組負責訂定公司資訊安全政策,規劃資訊安全措施,並執行相關之資訊安全作業,並定期向董事會報告公司資安治理概況。

  

  • 利用PDCA管理循環代表著持續改善的概念,於過程中因內部與外在環境的改變,而不斷調整管理方向評估與提出改善方案,以維護資訊安全制度的有效性。

 

資訊安全政策

  • 資安治理:定期檢視及升級網路基礎架構環境,持續修補內部系統潛在弱點,實施人員資訊安全教育訓練實務課程,全面性的深化資安基礎防禦力。
  • 制度規範:訂定公司資訊安全管理制度,定期審視及檢核資安內控執行成效,並貼合國際資訊安全規範,落實資訊安全控管機制之運行。
  • 技術應用:持續導入資訊安全設備及資安技術應用,預先掌握資訊風險狀態,提升資安防禦力及應變能力。

 

具體管理方案

類別 風險評估 已存在控制措施
權限管理 資料未授權存取
  • 人員帳號權限管理及審核
  • 人員帳號權限定期盤點
存取管控 存取內外部系統及資料傳輸管控不足,造成資料損壞及外洩
  • 內/外系統存取及資料外洩,設定更嚴謹帳號權限管控
  • 操作行爲軌跡記錄分析
外部威脅 伺服器及PC病毒侵犯
  • 伺服器/個人電腦弱點檢測
  • 病毒防護及惡意程式偵測
  • 定期更新病毒程式碼
應用系統 系統與服務中斷時
  • 系統/網路可用狀態監控及通報機制
  • 啟動應變措施
  • 資料備份備援措施,本/異地備援機制
  • 定期災害還原演練
郵件系統 郵件被攻擊、垃圾氾濫
  • 建置垃圾郵件過濾防堵系統 (建立SPM系統)
員工 資安觀念不足,造成中毒
  • 加強資安觀念及教育訓練
  • 管制個人電腦軟體安裝,防堵非授權使用的軟體

 

110年辦理資訊安全宣導執行情形

訓練日期 主辦單位 課程名稱 訓練人數 訓練時數 訓練總時數
110.09.08 法務部高雄市調處岡山站 資訊安全 23 1 23