資訊安全風險管理架構及管理方案​

Important Rules

資通安全風險管理架構及管理方案

1. 資通安全風險管理架構:
本公司資訊單位為獨立之單位由總經理擔任組織最高主管,並由資訊單位負責統籌並執行資通安全政策,宣導資通安全訊息,提升員工資安意識。並由稽核單位每年就內部控制制度—資訊循環,進行資通安全查核,組織運作模式採用PDCA(Plan-Do-Check-Act)循環式管理,確保循環可靠度並且持續改善。

2. 資訊安全政策:
本公司之資訊安全政策為「針對關鍵的系統與資料,必需保障其機密性、完整性與可用性能滿足營運需求」。

為落實企業內部資通安全管理,公司訂有資訊循環及資訊安全管理辦法,期望達成下列政策目標:(1) 保障企業資訊資產之機密性、完整性及可用性。
(2) 依據部門職能規範資料存取,防範未經授權修改或使用資料與系統。
(3) 達成資訊系統之持續運作,關鍵核心系統維持一定水準的系統可用性。
(4) 依循PDCA的模式循環,確保資訊安全落實。

3. 具體管理方案:
(1) 網際網路資安控管
A. 佈置防火牆。
B. 定期對電腦系統及資料除存媒體進行病毒掃描。
C. 各項網路服務之使用應依據資訊安全政策執行。
D. 定期覆核各項網路服務項目之紀錄檔,持續追蹤異常之情形。
E. 病毒碼及作業系統持續同步更新。
F. 建立IPS入侵防護系統
(2) 資料存取管控
A. 電腦設備應有專人保管,並設定帳號與密碼。
B. 依據職能分別賦予不同存取權限。
C. 帳號新增刪除即時控制管理。
D. 設備報廢前應先將機密性、敏感性資料及版權軟體移除或覆寫。
E. 遠端登入管理資訊系統應經申請及核准。
(3) 應變復原機制
A. 定期檢視緊急應變計劃。
B. 每年定期演練系統復原。
C. 建立系統備份機制,落實異地備份。
D. 定期檢討電腦網路安全控制措施。
(4) 宣導
定期宣導資通安全資訊,提升員工資安意識。

4. 投入資通安全管理之資源:
(1) 本公司電腦主機、各應用伺服器等設備均設置於專用機房,機房設置門禁保留進出記錄存查。
(2) 防火牆、郵件伺服器及對內外網路等重要設備均佈署高可用性架構,避免單點故障。
(3) 佈署資訊系統控制帳號登入及資源存取控制。
(4) 伺服器及用戶端佈署防毒軟體,即時更新病毒碼防範病毒威脅。
(5) 佈署防火牆及IPS入侵防護系統和垃圾郵件閘道器,阻擋垃圾郵件及惡意網路行為攻擊。
(6) 辦理資訊安全教育訓練,推廣員工資訊安全之意識與強化其對相關責任之認知。
(7) 資訊人員定期災難復原演練。
(8) 定期聘任專業人員進行弱點掃瞄,滲透測試確保主機的安全性。
(9) 機房不斷電系統、異地資料備援,確保重要資源持續運行。
(10) 公司網站資料加密安全機制,維護網路資料傳輸安全。
(11)加入台灣電腦網路危機處理暨協調中心(TWCERT)
(12)本公司於2024年導入ISO27001:2022,並取得第三方驗證

IAS-27001-2022中-圓裕

回到頂端