資訊安全管理及架構Information Security Management and Architecture

資訊安全政策及管理方案
一、資訊安全管理
1.本公司資訊安全權責單位為資訊部該部設置資訊主管乙名,與專業資訊人員數名負責規劃、執行及推動資訊安全管理相關事宜,並加強全體同仁資訊安全意識。
2. 本公司資訊安全監理之督導單位為稽核室,若有查核發現缺失即要求受查單位提出相關改善計畫,且定期追蹤改善成效,以降低內部資安風險。
 二、資訊安全管政策
 1. 制度規範:制定公司資訊安全管理規範
 2.運用設備:建置資訊安全管理設備,落實資安管理措施。
 3.教育訓練:進行人員資訊安全教育訓練,提昇全體同仁資安意識。
 三、資訊安全管理措施
  
類型 說明 相關作業
權限管理 人員帳號、權限管理及系統操作行為之管理措施 1.人員帳號權限管理與審核。
2.人員帳號權限定期盤點。
存取管控 人員存取內外部系統及資料傳輸之控制措施 1.內/外部存取管控措施。
2.以網路防火牆區隔內部/外部網路
3.操作行為軌跡記錄分析。
外部威脅 內部系統潛在弱點、中毒管道與防護措施 1.電腦弱點檢測及更新措施。
2.腦病毒防護及病毒碼定期更新。
系統可用性 系統可用狀態與服務中斷時之處置措施 1.系統可用狀態監控及通報機制。
2.服務中斷之應變措施。
3.資料備份備援措施、本/異地備援機制。
4.定期災難還原演練