目的

為確保本公司之資料、資訊、設備、人員、網路等重要資訊資產之機密性、完整性,衡酌本公司業務需求,特訂定本公司「資訊安全政策」。

 

 

適用對象

舉凡本公司所有同仁及與本公司有業務往來之廠商、訪客等,皆應遵守本政策。

 

 

資訊安全目標

確保本公司資訊作業可正確、完整、可用的持續營運。

確保本公司重要資訊之機密性,落實資料存取控制,資訊須經授權人員核可方能存取,不得逾越。

 

 

資訊安全控制措施
  1. 成立資訊安全小組,確認本公司資訊安全管理運作之有效性。
  2. 建立資訊資產清單,依資安風險評鑑進行風險管理,落實各項管控措施。
  3. 新進同仁須參與資訊安全教育訓練以提昇資訊安全防護之認知觀念,公司定期執行資訊安全宣導作業。
  4. 本公司所有員工、委外廠商暨其協力廠商及訪客等,凡使用本公司資訊以提供資訊服務或執行相關資訊業務等,皆有責任及義務保護其所取得或使用本公司之資訊資產,以防止遭未經授權存取、擅改、破壞或不當揭露。
  5. 建立安全、可靠的資訊系統環境,使本公司業務得以永續經營。重要資訊系統或設備應建置適當之備援或監控機制並定期演練,維持其可用性。
  6. 同仁之個人電腦應安裝防毒軟體且定期確認病毒碼之更新,並禁止使用未經授權軟體。
  7. 同仁個人持有之帳號、密碼與權限應善盡保管與使用責任並定期換置。
  8. 設計適當之資訊安全事件的回應及通報程序,以能適當對資訊安全事件做立即反應,避免傷害擴大。
  9. 本公司全體同員應遵守法律規範與資訊安全政策之要求,主管人員應督導資安遵行制度落實情況,強化同仁資安認知及法令觀念。

 

 

審查及修訂

本政策由資訊安全小組視需要檢討修正,並於核准後公告實施。

 

【資訊安全策略】
  1. 組織設定:成立資訊安全小組
  2. 管理模式:採用資訊安全管理系統模式管理(ISMS, Information Security Management System),見下圖
  3. 風險管理:鑑別資訊資產風險並進行風險管理,落實各項管控措施以強化防禦能力
  4. 規範訂立:訂立資訊安全管理辦法將資訊作業標準化
  5. 教育訓練及宣導:每年不定期宣導資訊安全注意事項,減少人員疏失造成 之資安風險。

 

 

管理模式:資訊安全管理系統示意圖(ISMS)

每年由資訊單位進行弱點掃描檢核管理的主機、伺服器或網路設備是否存在相關的漏洞或風險存在,依據資訊安全管理系統(ISMS)作業方式進行規畫、行動、查核、執行,強化防衛能力避免過時的防禦技術產生風險,以建構出全方位的資安系統。

 

ISMS_new.png (47 KB)
   

 

 

風險管理

依據資安事件發生時間點區隔,採取對應措施以管理風險危害:

  1. 事前預防:透過定期弱點掃描,自主盤點檢視,預防資安事故。
    1. 防入侵:主動防禦來自內外網攻擊,侵入資訊系統造成破壞。
    2. 防外洩:主動防範公司機敏資訊及營業秘密遭外流外洩,影響公司永續營運。
    3. 防意外:主動預防環境內因素(故障/跳電/病毒/設備遺失)造成的生產損失。
  2. 事中處理:損害控制緊急應變
    1. 完善機制:建立有效災害應變機制,即時控制損害範圍。
    2. 落實演練:運用演練經驗,在最短時間內恢復正常,維持企業體持續營運。
  3. 事後改善:追查並列入預防矯正措施
    1. 避免問題復發:調閱系統紀錄追蹤問題原因,擬定對策成新預防措施。
    2. 持續改善流程:降低風險成因並提高內控機制可靠性。

 

 

規範訂立:資訊安全管理辦法
ISMS_1_new.png (22 KB)
   

 

 

資訊安全組織運作
ISMS_2_new.png (42 KB)
   

 

具體執行方案

類別

說明

相關措施

權限管理

人員帳號設定

人員使用權限管制

人員帳號管理及審核

存取控制

內外部系統存取
資料傳輸管制

人員存取控制管理、資料外洩管理、人員遠端存取行為限制、外接儲存裝置管制

外部威脅

防毒、防駭措施

定期掃毒與偵測惡意程式、設置網路防火牆

營運維持

系統及網路監控使用狀況
營運中斷回復措施

系統運作監控異常示警、定期資料備份及磁帶異地存放、異地機房備援、定期災害復原演練
 

 

運作情形

最近一次報告時間:民國112年12月14日至董事會報告執行現況