信息安全风险管理架构
信息安全室为直属总经理室的独立部门,负责统筹并执行信息安全政策,宣传信息安全信息,提升员工信息安全意识,完善集团内信息安全管理系统及有效性之技术等。由稽核室每年就内控制度“电子计算机循环”,进行信息安全检查,评估信息作业内控之有效性。
资通安全政策
公司订有内部控制制度,“电子计算机循环”、“计算机作业管理规范”及“资通安全管控办法”,子公司已取得ISO27001国际资通安全认证 ,全体同仁共同努力期望达成以下政策目标:
(1) 确保公司重要资料机密性、完整性。
(2) 确保各项系统持续正常运作。
(3) 确保经授权始可使用或修改资料与系统。
(4) 定期执行信息安全稽核工作,落实信息安全。
具体管理方案
(1) 网络管控
a. 架设防火墙
b. 所有计算机安装防病毒软件,并自动更新病毒库
c. 定期对计算机系统与存储设备做病毒与威胁扫描
d. 定期检查网络服务记录有无异常情况
(2) 资料管控
a. 计算机登录密码强制定期更改
b. 调离职人员应取消原有权限
c. 报废计算机前应先将存储资料之硬件破坏或是覆盖
d. 用户依赋予资料权限进行操作
e. 重要图文资料皆以加密处理
(3) 应变机制
a. 定时演练资料及系统恢复
b. 定时备份机制,落实异地备份
c. 随时宣传信息安全信息
(4) 投入资通安全管理之资源
a. 每年编列信息安全预算,并实际执行
b. 成立信息安全专责单位,并设置信息安全专责主管一名与专责人员二名,每月召开会议向总经理做资通安全报告
c. 定期检讨信息安全政策,每年向董事会做年度资通安全报告
d. 加入台湾计算机网络危机处理中心(TWCERT),获得信息安全情报分享,可提早防范各种信息安全威胁
繁體中文
ENGLISH
简体中文