資訊安全風險管理
1.本公司設有資訊安全委員會,每年定期檢討資安政策並向董事會報告資安
風險管理情形,最近一次於110年11月8日,以加強董事對公司營運的督導與管
理。
2.主任委員由董事長擔任。
3.為加強資訊安全管理系統,管理代表一職董事長任命由資訊部最高主管擔
任,並定期檢討實施成效。
二、資訊安全管理方案
1.本公司資訊安全權責單位為資訊部該部設置資訊主管乙名,與專業資訊人
員數名負責規劃、執行及推動資訊安全管理相關事宜,並加強全體同仁資
訊安全意識。
2.本公司資訊安全監理之督導單位為稽核室,若有查核發現缺失即要求受查
單位提出相關改善計畫,且定期追蹤改善成效,以降低內部資安風險。
三、資訊安全政策
1.制度規範:制定公司資訊安全管理規範
2.運用設備:建置資訊安全管理設備,落實資安管理措施。
3.教育訓練:進行人員資訊安全教育訓練,提昇全體同仁資安意識。
四、資訊安全管理措施
類型 |
說明 |
相關作業 |
權限管理 |
人員帳號、權限管理及系統操作行為之管理措施 |
a.人員帳號權限管理與審核。
b.人員帳號權限定期盤點。 |
存取管控 |
人員存取內外部系統及資料傳輸之控制措施 |
a.內/外部存取管控措施。
b.以網路防火牆區隔內部/外部網路操作行為軌跡記錄分析。 |
外部威脅 |
內部系統潛在弱點、中毒管道與防護措施 |
a.主機/電腦弱點檢測及更新措施。電腦病毒防護及病毒碼定期更新。 |
系統可用性 |
系統可用狀態與服務中斷時之處置措施 |
a.網路/系統可用狀態監控及通報機制。服務中斷之應變措施。
b.資料備份備援措、本/異地備援機制。
c.定期災難還原演練 |