資通安全風險管理架構
本公司於資訊處下設立資通安全部,設有資訊安全主管及資訊安全人員,負責訂定資通安全作業程序,包含核心業務及其重要性、資通系統盤點及風險評估、資通系統發展及維護安全、資通安全防護及控制措施、資通系統或資通服務委外辦理之管理措施、資通安全事件通報應變及情資評估因應、資通安全之持續精進及績效管理機制等,資訊安全主管每半年召開跨部門會議,就公司現行資安防護及相關議題進行討論及溝通。
資通安全管理方案及投入資通安全管理之資源
資通安全部為「台灣CERT/CSIRT聯盟」會員,針對目前資安新興趨勢,如勒索軟體、木馬程式、社交工程攻擊、偽冒網站等,每年與專業資安廠商交流,透過專案的合作,定期關注資安議題並規劃因應計畫, 112年度,本公司投入資安防護軟硬體設備添購及更新約計新台幣265萬元, 以期能在第一時間即偵測到惡意病毒或攻擊並完成阻擋,同時定期向董事會報告資安治理概況,本公司資通安全管理方案如下:
-
公司人員使用電腦、網路、系統之前,須先向資通安全部申請使用帳號及提供密碼。
-
隸屬全公司之資訊作業系統(操作系統、應用軟體)由資通安全部統一規劃,使用部門不得自行任意修改及增加既定作業模式。
-
非屬於作業系統(視窗、DOS)本身的程式皆屬之,不得任意安裝設定。
-
公司行政網路之電腦、印表機、集線器、網路路徑及其他相關週邊設備,隸屬資通安全部所管轄;使用單位若有移動、斷電或其它需求,須知會資通安全部,由資通安全部人員決定是否可做上述作業需求。
-
公司人員使用網路系統,不得存檔非法之程式資料及未經資通安全部核可之程式資料(可存檔文字檔、驅動程式)。
-
於公司內部server上所開放資料夾必須經由資通安全部開放。
-
server上所開放使用之個人專屬資料夾,屬於個人Backup使用,不得存放個人的私人資料及檔案,資通安全部每周執行清理檢查,並限額空間使用,如有不法用途,或存放損害著作權等相關數位文件檔案,一經查獲確認無誤,資通安全部可自行刪除。
-
對於程式、檔案之存取使用,均由資通安全部於伺服器上統一依照相關使用權限管理。
-
電腦及其週邊設備處禁貼政治標籤、禁止吸煙、禁用飲料及食物。
-
防火牆管理檢查: 防火牆設置僅允許內部網路連外使用標準通訊,網站造訪、電子郵件收發等。外部網路無法造訪內部網路之伺服器、資料庫等網路系統,防止外部駭客進入本公司內部網路…並使用雙防火牆備援啟用,確保網路資訊安全。