資訊安全風險管理架構
- 本公司資訊安全之權責單位為資訊處,負責規劃、執行及推動資訊安全管理事項,並宣導資訊安全意識。
- 本公司稽核室為資訊安全監理之查核單位,若查核發現缺失,即要求受查單位提出相關改善計畫並呈報董事會,且定期追蹤改善成效,降低內部資安風險。
- 組織運作模式採循環式管理,確保可靠度目標之達成且持續改善。
資訊安全政策
為貫徹本公司各項資訊管理制度能有效運作執行,維護重要資訊系統的機密性、完整性、可用性,以確保資訊系統、設備網路之安全維運,達到永續經營目的。
主要目標:
遵守資安制度,規範作業行為。
建置資安設備,落實資安管理。
加強教育訓練,提昇資安意識。
做好緊急應變,迅速災害復原。
推動持續改善,確保永續經營。
資訊安全管理方案
資訊安全管理方案 |
||
項目 |
說明 |
相關措施 |
權限管理 |
人員帳號、權限管理與系統操作行為之管理措施 |
•人員帳號權限管理與審核 •人員帳號權限定期盤點 |
存取管控 |
人員存取內外部系統及資料傳輸管道之控制措施 |
•內/外部存取管控措施 •操作行為軌跡記錄 |
外部威脅 |
內部潛在弱點、中毒管道與防護措施 |
•主機/電腦弱點檢測及更新措施 •病毒防護與惡意程式檢測 |
系統可用性 |
系統可用狀態與服務中斷時之處置措施 |
•系統/網路可用狀態監控及通報機制 •資訊備份措施、本/異地備份機制 •定期災害復原演練 |