資訊安全管理
資訊安全管理架構
本公司資訊安全之權責單位為管理處,負責訂定內部資訊安全政策、規劃暨執行資訊安全作業。
本公司稽核室為資訊安全監理之督導單位,該室設置專職稽核人員,負責督導內部資安執行狀況,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
資訊安全政策
為確保本公司之營運順利運作,防止資訊或資通系統受侵害,並維護公司資料之完整性、機密性、可用性及適法性,建立資訊安全相關管理程序,預防可能之風險,實施具體有效的安全防護及個資隱私保護措施。
資訊安全具體管理措施
-
系統帳號與權限管理
資訊系統應有充分權限管制,以防止未經授權的侵入或使用者擅自對資料進行變更,內容包含資通安全權責、資訊存取權限及資訊存取控制。可依電腦化系統的重要性,來決定安全控管的程度業務範圍、權責分別設定使用者之帳號及權限,資料之存取皆需經權責主管申請並核准後始能使用與變更。離職人員(含留職人員)應依處理程序立即鎖定、停止或移除帳號及權限,以防範未經授權之使用。
-
資料存取紀錄稽核備存
本公司為確保資料完整性,電腦化系統應當能記錄異動歷程,即任何資料的變更刪除、由誰進行、能紀錄系統檔案文件存取之軌跡記錄、有關往來郵件等歷史資料,進行歸檔保存。報廢程序完成之電腦均執行硬碟拆解破壞以符合法規遵循的管理制度及資安政策。
-
資訊系統持續運作
為確保本公司資料、系統、設備及網路通訊安全,電腦化環境及文件符合備份三二一原則,採取每日、週、月規則進行本地備份、異機備份、異地備份,加強機房各項模擬測試與緊急應變等演練以確保資訊系統之正常運作及資料保全,並每年定期執行系統資料復原測試演練,以確保資訊系統之正當運作及資料保全,可降低無預警天災及人為災害造成之資料損失風險。
-
投入資通安全管理之資源
為強化本公司資訊安全技術及安全防護,本公司不定期以時事案例透過公司內部網路對員工做資通安全宣導,不定期電子郵件社交工程演練測試員工警覺性,強化員工資安意識;資安專責人員定期接受外部教育訓練;設備使用年限已達即時汰換老舊設備;引入端點防護系統及服務智能管理,便於掌控設備資訊狀態,強化資安防線
