|
|
|
|
| 壹、資訊安全風險管理架構: |
| | 為強化本公司之資訊安全管理,本公司資訊安全之權責單位為資訊部,設置資訊主管乙名,與數名專業資訊人員,負責統籌和執行各項資訊活動,訂定內部所有資訊管理辦法暨相關作業,宣導資訊安全訊息,提升員工資安意識,落實各種資訊循環,資訊安全查核,以及貫徹資訊安全機制的作為。 |
|
| 貳、資訊安全政策: |
| | 為保障公司、員工的權益,落實公司內部資訊安全管理辦法,為此建立可信賴的資訊安全作業環境,以確保資訊資產之機密性、完整性,及設備、網路的安全,維持資訊系統之持續運作原則,資安政策如下: |
| |
- 系統與應用程式存取控制:依據各帳號設定權限管理,異動需經簽核後開放系統權限。
- 網路安全管理:設置防火牆區隔內外網路,並定期檢視防火牆規則。
- 資訊紀錄的保護:機房人員管制、執行檔案備原及異地備份,系統復原測試作業。
- 個人電腦系統之網路安全:資訊部不定期宣導或公告、安裝防毒軟體,定期更新密碼。
|
|
| 參、資訊安全具體管理方案: |
| |
- 同仁帳號、密碼與權限應善盡保管與使用責任並定期換置。
- 重要資訊系統或設備應建置適當之備援或監控機制,資料進行異地備份,定期演練災難復原,維持其可用性。
- 個人電腦應安裝防毒軟體並定期確認病毒碼之更新,並禁止安裝與使用未經授權軟體。
- 嚴禁同仁私自攜帶個人電腦設備至公司並私自連接公司內部網路。
- 資訊安全定期進行風險評估,如有需要則列入年度預算計畫表,落實各項資安措施,提升作業安全。
- 郵件安全管控:設置郵件掃描防護系統,在使用者接收到郵件之前先針對有疑慮及不安全的附件檔案、垃圾郵件進行隔離,防止惡意郵件進到公司內部。
- 防火牆防護:設置防火牆連線規則,如有對外特殊需求的連線需要經過申請開放後才可使用。
- 全體人員應遵守法律規範與資訊安全政策要求,主管人員應督導資安遵行制度落實情況,強化同仁資安認知及法令觀念。
- 事前防範定期執行個人電腦作業系統風險漏洞修補之更新,加強系統防禦能力,降低風險。
- 機房出入權限管理。
|
|
| 肆、資訊安全宣導執行情形: |
類別 |
執行時間 |
內容 |
資安防護宣導 |
每週一次 |
合法軟體使用政策,加強員工使用合法授權軟體之觀念,避免使用未經授權的軟體,提昇安全風險之警覺性 |
每週一次 |
勒索病毒防治宣導 |
每月一次 |
資安防護,未使用電腦時將個人電腦關機,降低被駭客入侵之風險 |
電腦及軟體使用規範 |
新人報到當日 |
教育訓練時宣導個人電腦使用規範 |
新人報到當日 |
簽定電腦及軟體使用同意書 |
災難復原測試 |
每年一次 |
ERP應用系統災難復原測試 |
帳號權限Review |
每年一次 |
ERP、CRM應用程式帳號權限由各部門主管確認 |
|
|
|
|
|
Home