公司治理專區
建置資訊安全風險管理架構
一、目的:為增進本公司之資訊作業安全、穩定運作,確保資訊資料、資訊設備及系統、人員等重要資訊資產之可用性、完整性及機密性並順利推展本公司各項業務。
二、目標:
1、強化資訊安全管理、提升防護能力,建立安全可靠的資訊作業環境。
2、確保相關資訊之機密性,保護機密資料不外洩。
3、確保相關資訊之可用性及完整性,提升作業效率及品質。
4、確保相關資訊之持續運作、不中斷。
三、範圍:本公司所有同仁及有接觸或提供資訊服務之軟硬體廠商均適用。
四、策略:
1、建立資訊安全管理小組及權責分工。
2、評估資訊作業的安全需求,建立資訊安全管理要點,並應遵循相關法令規章之規範。
3、建立資訊安全事件通報程序,確保資安事件的妥善處理及控管。
4、定期執行資訊安全稽核作業,確保資訊安全管理程序有效及落實。
「資訊安全組織及權責分工」
|
責任單位 |
權 責 |
|
總經理 |
推動、協調及督導資訊安全管理事項。 (總經理為資訊安全長) |
|
資訊部 |
資訊安全相關政策、計劃、管理措施及技術規範之制定,以及相關安全措施評估、建置等。 (設置資訊安全主管一名,資訊安全人員二名) |
|
稽核室 |
每半年定期辦理一次資訊安全稽核作業,並視實際需要,不定期進行資訊安全稽核。 |
|
全公司部門 |
資料及資訊系統之安全需求研議、使用管理及保護等。 |
「建立全面性的資安防護架構」
|
措施 |
防護功能 |
|
垃圾郵件防禦系統 |
垃圾郵件與威脅郵件偵測過濾、防禦,降低各式郵件攻擊的風險。 |
|
網路網段區隔 |
各廠區網段獨立、主機網段獨立,將用戶與主機系統流量互相隔離,增進網路安全。 |
|
建置防火牆 |
區隔內外部網路,網路流量控管、入侵防禦、病毒防護、網頁內容過濾、資料外洩防護及應用程式控制、機密性主機病毒防護功能、外部用戶經由SSL VPN加密協議登入內部網路。 |
|
建置網管監控系統 |
使用Pontus監控軟體,即時監控網路系統資源,紀錄使用log,異常時發出email警訊 |
|
建置端點防護系統 |
使用OfficeScan保護終端設備,病毒防護、惡意程式偵測,即時監控及定期排程掃描。 |
|
定期資安弱點偵測 |
每季一次針對公司網路環境內可以掃描到的所有IP之設備,執行弱點偵測,包括:作業系統未修正的弱點掃描、常用應用程式弱點掃描、網路服務程式掃描、木馬/後門程式掃描、帳號密碼破解測試、系統之不安全與錯誤設定檢測、網路通訊埠掃描,並依據掃描結果執行補強措施。 |
|
訪客使用網路管理 |
有訪客需借用公司網路上網時,由受訪單位提出申請單,網管人員提供當日連線密碼後,訪客可使用公司網路連上外部網站。密碼每日自動變更一次。 |
「企業永續運作計劃管理」
1、永續運作計劃是在降低人為或意外因素對重要業務運作可能導致的影響,使企業在資訊系統無法使用時仍可持續運作。
2、永續運作計劃應評估各種災害對業務作業可能造成的衝擊,人員責任劃分及緊急應變措施之建立,並進行員工教育訓練,定期測試應變計劃及隨著業務、組織及人員的變動來更新計劃內容。
「資訊安全內部稽核及其他」
1、稽核單位應建立稽核制度,定期實施並做成稽核報告,詳實紀錄查核情形。
2、軟體版權由各單位根據需求套數購買後,版權證明書交由資訊部統一保管及安裝,資訊部並定期查核,以確認PC中只有安裝合法軟體。
3、每季由專業廠商進行資訊安全測試,並提供資安問題改善方針。
※統一實業公司目前雖無投保資安險,但已透過建構完善資安防護架構及具體管理措施,落實防範資安風險的產生。