資訊安全政策及管理方案
· 本公司資訊安全之權責單位為資訊部,該部設置資訊主管乙名,與專業資訊人員數名,負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實,並定期向稽核單位報告公司資安治理概況 · 本公司稽核室為資訊安全監理之督導單位,該室設置稽核主管乙名,負責督導內部資安執行狀況,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。 組織運作模式-採 PDCA(Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善 為強化資訊安全管理,確保資訊的可用性、完整性以及機密性,並免於遭受內、外部的蓄意或意外的威脅,資訊安全設施與管理方式分為六大項,茲闡述如下:
一、電腦設備安全管理
a. 本公司電腦主機、各應用伺服器等設備均設置於專用機房,機房門禁採用感應刷卡進出,且保留進出紀錄存查 b. 機房內部備有獨立空調,維持電腦設備於適當的溫度環境下運轉;並放置藥劑式滅火器,可適用於一般或電器所引起的火災 c. 機房主機配置不斷電與穩壓設備,避免台電意外瞬間斷電造成系統當機,或確保臨時停電時不會中斷電腦應用系統的運作
二、網路安全管理
a. 與外界網路連線的入口,配置企業級防火牆,阻擋駭客非法入侵 b. 分公司與台北總公司 sitetosite的連線作業,使用資料加密的方式,避免資料傳輸過程遭受非法擷取 c. 同仁由遠端登入公司內網存取 ERP系統,必須申請 VPN帳號,透過 VPN的安全方式始能登入使用,且均留有使用紀錄可稽查 d. 配置上網行為管理與過濾設備,控管網際網路的存取,可屏蔽訪問有害或政策不允許的網路位址與內容,強化網路安全並防止頻寬資源被不當占用
三、病毒防護與管理
a. 伺服器與同仁終端電腦設備內均安裝有端點防護軟體,病毒碼採自動更新方式,確保能阻擋最新型的病毒,同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為 b. 電子郵件伺服器配置有郵件防毒、與垃圾郵件過濾機制,防堵病毒或垃圾郵件進入使用者端的 PC
四、系統存取控制
a. 同仁對各應用系統的使用,透過公司內部規定的系統權限申請程序,經權責主管核准後,由資訊室建立系統帳號,並經各系統管理員依所申請的功能權限做授權方得存取 b. 帳號的密碼設置,規定適當的強度,並且必須文數字、特殊符號混雜,才能通過 c. 同仁辦理離(休)職手續時,必須會辦資訊室,進行各系統帳號的刪除作業
五、確保系統的永續運作
a . 系統備份:建置備份管理系統,採取日備份機制,備份媒體共有兩份,一份保留於機房,另一份備份媒體存放於銀行保險箱(異地) b. 災害復原演練:各系統每年實施一次演練,選定還原日期基準點後,由備份媒體回存於系統主機,再由使用單位書面確認回復資料的正確性,確保備份媒體的正確性與有效性 c. 租用電信公司多條數據線路,透過頻寬管理設備,線路並聯互為備援使用,確保網路通訊不中斷
六、資安宣導與教育訓練
a. 定期宣導: 每二季要求同仁定期更換系統密碼,以維護帳號安全 b. 排程宣導: 系統排程自動通知同仁檢視 OS及病毒碼安全性更新 c. 講座宣導: 不定期對內部同仁實施資訊安全相關的教育訓練課程