資訊安全
目 的
本公司為強化資訊安全管理,確保資料、系統、設備及網路安全,特訂定本政策,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,特制定此政策規範。
適用範圍
- 資訊安全程序。
- 資通安全檢查控制。
- 資訊安全人員權責。
- 管控公司電腦硬體、軟體安全。
- 監控系統使用,預防不法侵入篡改系統資料。
- 依通知刪除離職員工系統權限,並定期查核。
資訊安全風險管理架構
- 爲有效推行資訊安全工作,由資訊組負責訂定及檢討公司資訊安全政策,規劃資訊安全措施,並設置資安主管乙名,專責的資安人員乙名,執行相關之資訊安全作業,並定期向董事會報告公司資安治理概況。資訊組已於113.11.13董事會,彙總報告113年度資訊安全運作情形。
.png)
- 利用PDCA管理循環代表著持續改善的概念,於過程中因內部與外在環境的改變,而不斷調整管理方向評估與提出改善方案,以維護資訊安全制度的有效性。
資訊安全政策
- 資安治理:定期檢視及升級網路基礎架構環境,持續修補內部系統潛在弱點,實施人員資訊安全教育訓練實務課程,全面性的深化資安基礎防禦力。
- 制度規範:訂定公司資訊安全管理制度,定期審視及檢核資安內控執行成效,並貼合國際資訊安全規範,落實資訊安全控管機制之運行。
- 技術應用:持續導入資訊安全設備及資安技術應用,預先掌握資訊風險狀態,提升資安防禦力及應變能力。
具體管理方案
| 類別 | 風險評估 | 已存在控制措施 | |||
| 權限管理 | 資料未授權存取 |
|
|||
| 存取管控 | 存取內外部系統及資料傳輸管控不足,造成資料損壞及外洩 |
|
|||
| 外部威脅 | 伺服器及PC病毒侵犯 |
|
|||
| 應用系統 | 系統與服務中斷時 |
|
|||
| 郵件系統 | 郵件被攻擊、垃圾氾濫 |
|
|||
| 員工 | 資安觀念不足,造成中毒 |
|
|||
投入資通安全管理之資源
| 年度 | 內 容 | 投入資源 | |||
|
113
|
|
1,000,000
|
|||
|
114 |
|
(預算) 600,000 |
|||
113年辦理資訊安全宣導執行情形
| 訓練日期 | 主辦單位 | 課程名稱 | 訓練人數 | 訓練時數 | 訓練總時數 |
| 113.08.15 | 資訊組 | 資訊安全 | 20 | 1 | 20 |