資訊安全管理及架構Information Security Management and Architecture

資訊安全風險管理

  • 一、資訊安全風險管理架構

1.本公司設有資訊安全委員會,每年定期檢討資安政策並向董事會報告資安
   風險管理情形,最近一次於109年11月11日,以加強董事對公司營運的督導與管 
   理。
2.主任委員由董事長擔任。
3.為加強資訊安全管理系統,管理代表一職董事長任命由資訊部最高主管擔
   任,並定期檢討實施成效。
 

二、資訊安全管理方案

1.本公司資訊安全權責單位為資訊部該部設置資訊主管乙名,與專業資訊人
   員數名負責規劃、執行及推動資訊安全管理相關事宜,並加強全體同仁資
   訊安全意識。
2.本公司資訊安全監理之督導單位為稽核室,若有查核發現缺失即要求受查
   單位提出相關改善計畫,且定期追蹤改善成效,以降低內部資安風險。
 

三、資訊安全政策

1.制度規範:制定公司資訊安全管理規範
2.運用設備:建置資訊安全管理設備,落實資安管理措施。
3.教育訓練:進行人員資訊安全教育訓練,提昇全體同仁資安意識。
 

四、資訊安全管理措施

類型 說明 相關作業
權限管理 人員帳號、權限管理及系統操作行為之管理措施 a.人員帳號權限管理與審核。
b.人員帳號權限定期盤點。
存取管控 人員存取內外部系統及資料傳輸之控制措施 a.內/外部存取管控措施。
b.以網路防火牆區隔內部/外部網路操作行為軌跡記錄分析。
外部威脅 內部系統潛在弱點、中毒管道與防護措施 a.主機/電腦弱點檢測及更新措施。電腦病毒防護及病毒碼定期更新。
系統可用性 系統可用狀態與服務中斷時之處置措施 a.網路/系統可用狀態監控及通報機制。服務中斷之應變措施。
b.資料備份備援措、本/異地備援機制。
c.定期災難還原演練