目的
本公司為強化資訊安全管理,確保資料、系統、設備及網路安全,特訂定本政策,並依公開發行公司建立內部控制制度處理準則第9條規定,訂有各項控制作業程序,本公司電腦資訊系統之管理由資訊組負責。
適用範圍
資安風險之評估說明
隨著公司在營運上越來越仰賴系統化並經常透過網路執行各項業務下,資訊安全尤期重要,資安威脅與日劇增,積極提升資安防護能量,建立有效的資訊安全管理機制,其目的除避免公司資源浪費與損失,防止商譽或形象受損外,更以改進營運作業流程,提高作業效能為積極目標。
資安風險之因應措施
類別 | 風險評估 | 已存在控制措施 | |||
權限管理 | 資料未授權存取 |
|
|||
存取管控 | 存取內外部系統及資料傳輸管控不足,造成資料損壞及外洩 |
|
|||
外部威脅 | 伺服器及PC病毒侵犯 |
|
|||
應用系統 | 系統與服務中斷時 |
|
|||
郵件系統 | 郵件被攻擊、垃圾氾濫 |
|
|||
員工 | 資安觀念不足,造成中毒 |
|
資訊安全策略 | |
資安治理 | 定期檢視及升級網路基礎架構環境,持續修補內部系統潛在弱點,實施人員資訊安全教育訓練實務課程,全面性的深化資安基礎防禦力 |
制度規範 | 訂定公司資訊安全管理制度,定期審視及檢核資安內控執行成效,並貼合國際資訊安全規範,落實資訊安全控管機制之運行 |
技術應用 | 持續導入資訊安全設備及資安技術應用,預先掌握資訊風險狀態,提升資安防禦力及應變能力 |