資訊安全風險管理

為強化資訊安全之風險管理,成立資訊安全執行小組、建置資訊安全風險管理架構、訂定資訊安全政策及具體管理方案,並定期檢討資訊安全政策,以確保資訊安全。

 

◎ 資訊安全風險管理架構

- 資訊安全執行小組定期檢討資訊安全管理政策及相關辦法。

- 各單位成員皆依相關辦法確實執行。

- 日常營運時定期進行伺服器等設備之檢核,以即時發現問題。

- 進行資訊安全風險評估,配合稽核單位查核以確保作業之正確性及有效性。

- 遇有錯誤、漏洞與風險立即進行改善,以建構資訊安全之持續改善管理循環。

- 資訊安全執行小組每年至少一次向集團總經理報告資訊安全執行情形。

 

◎ 資訊安全政策

一、目的

為強化資訊安全之風險管理,確保資料、系統、設備及網路安全,特訂定本政策。

 

二、資訊安全目標

確保本公司資訊作業之正確性、可用性、完整性與機密性。避免內、外部資安事件之威脅。於事故發生時,亦能迅速應變,在最短時間內回復正常運作,降低事故帶來的損害。

 

三、資訊安全管理措施
1. 成立資訊安全執行小組,訂定資訊安全政策及具體管理方案,以確保資訊安全。
2. 應依據個人資料保護法審慎處理個人資訊。
3. 個人電腦、伺服器皆需設定密碼,安裝防毒軟體,並定期更新病毒碼。
4. 應遵守智慧財產權相關規定,私人電腦設備亦應加以管理,確保安裝軟體皆有合法授權。
5. 重要資料應進行備份,並定期確認備份資料有效性。
6. 規劃災害復原計畫,以利資安事件發生時快速恢復系統運作。
7. 定期執行資訊安全宣導作業,強化同仁資安認知及法令觀念。

 

四、審查及修訂

本政策由集團總經理核准後實施,修正時亦同。

 

◎ 資訊安全具體管理方案

本公司考量資安險仍是新興險種,本公司目前之資安風險管理方案內容已能有效防護資訊安全,因此經資訊安全執行小組評估後,暫不購買資安險。

本公司之資訊安全具體管理方案,由資訊安全事件發生時間點區分,可分為事前預防、日常營運維持、資安事件處理。具體管理方案內容如下:

類別 說明 內容
預防外部入侵 安裝防火牆與防毒軟體

設置網路防火牆。

伺服器與電腦主機安裝防毒軟體。

防毒軟體病毒碼自動更新。

每週執行防毒軟體電腦掃描。

預防資料外洩 帳號、權限管理

人員帳號審核及管理。

定期進行系統權限設定檢核。

日常營運維持 資料備份與相關檢核

依資料性質進行資料備份、異質備份與異地存放。

定期進行資料還原測試。

每日執行伺服器主機檢核暨系統測試。

定期電腦檢核。

資安事件處理 災害復原計畫

訂定災害復原計畫。

若無事件發生時定期模擬演練。

事後撰寫災害復原計畫執行報告進行檢討改善。