本公司管理中心設立資訊部為非隸屬使用者單位之獨立部門,負責統籌並執行資訊安全政策,宣導資訊安全訊息,提升員工資安意識,蒐集及改進組織資訊安全管理系統績效及有效性之技術、產品或程序等。由稽核室每年就內部控制制度進行資訊安全查核,評估公司資訊作業內部控制之有效性。
為落實資安管理,公司訂有內部控制制度—電腦資訊處理管理制度,藉由全體同仁共同努力期望達成下列政策目標:
- 確保資訊資產之機密性、完整性。
- 確保依據部門職能規範資料存取。
- 確保資訊系統之持續運作。
- 防止未經授權修改或使用資料與系統。
- 定期執行資安稽核作業,確保資訊安全落實執行。
資通管理具體方案
A.系統安全監控
- 本公司內部應有專業人員負責處理有關資訊系統安全預防及危機處理相關事宜,
以防範電腦網路犯罪與危機,維護資訊系統安全。
- 應建立電腦網路系統的安全控管機制,以確保網路傳輸資料的安全,保護連網作
業,防止未經授權的系統存取,造成機密資料之外洩。
- 對於跨本公司之電腦網路系統,應特別加強網路安全管理,並且對內安裝防毒軟,
設置對外之網路防火牆,以防止電腦病毒、攻擊性之惡意軟體入侵,而造成本公
司網路系統癱瘓。
- 應教育員工正確使用合法軟體之概念,促使員工正確認知電腦病毒的威脅,進一
步提昇員工的資訊安全警覺。
B.分工及權限
- 資訊系統的最高使用權限,應經權責主管簽核同意後,方可使用,以防止非相關
人員存取系統資訊。
- 使用權限人員,應依各業務範圍、權責分別設定使用者之帳號及權限,經提出權
限申請後,經資訊部門審核後再行安裝,並且不得私自更換使用,使用者一旦離
開原職務,應立即撤銷該使用者之帳號及權限。
- 使用者之帳號及密碼,應避免使用容易被識破及猜測的密碼,並且應定期更改密
碼。
C.資料備份及維護方式
- 資訊部應負責網路安全規範的擬訂,執行網路管理工具之設定與操作,確保系統
與資料的安全性與完整性。
- 個人電腦及網路系統伺服器,應具備電腦病毒掃瞄工具,並且定期掃瞄電腦病毒
與更新病毒碼。
- 網路系統之資料,應每日定期備份重要檔案及資料,以備不時之需;個人電腦定
期通知使用者備份重要檔案及資料。
- 申報之資料應儲存於電腦內,並以磁帶儲存備份,同時為便於管理方便,資料應
以日期、檔案、部門別分類儲存。
- 防火牆之設定應定期檢查,並經適當核准後補強防火牆軟體;防火牆檢核紀錄,
應經適當主管核閱。
- 本公司各項網絡服務的使用應依據“資訊安全政策規範”來執行,關閉不必要的
網路服務,如有任何需要添置的網路設備及網路服務需提出申請,依核決權限核
准。
7.電子郵件之使用應有適當之申請程序,並告知員工使用電子郵件之規定。
8.應定期覆核各項網路服務項目之System Log,追蹤異常之情形。
9.若有非資訊人員須遠端登入管理資訊系統應經適當之核准。
投入資通安全管理之資源 資訊安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:
1.兼責人力:本公司資訊不負責公司資訊安全規劃、技術導入與相關的稽核事項,以維護及持續強化資訊安全。
2.客戶滿意:無重大資安事件,無違反客戶資料遺失之投訴案件。
3.教育訓練:所有新進員工到職前皆完成資訊安全教育訓練課程;全體員工皆完成一次線上資訊安全教育訓練及考核;年度共計執行至少2次社交工程釣魚郵件測試。
4.資安公告:製作超過十份資安公告,傳達資安防護重要規定與注意事項。