資安管理方案與執行情形
資訊安全治理
-
☉ 資訊安全組織
為達成資訊安全管理目的,成立專責資訊安全管理組織,進行關鍵營運風險評估,針對公司內外部議題及關注者對於公司資訊安全之要求與期望。
-
☉ 資訊資產管理
制定資訊產管理程序,經由資訊資產識別來建立資訊資產清單,並加以分類分級、價值鑑別,透過定期複核來確保資訊資產得到適切保護。
-
☉ 風險評鑑管理
為鑑別關鍵營運服務及其資訊資產的風險,透過以系統化方法進行風險評鑑,找出潛在的高風險並採取對策 (如 : 降低、避免、轉移風險、接受 ),以降低可能遭受的損害風險。
-
☉ 人員安全管理
針對員工及往來廠商人員之資安管理及資安教育訓練訂定管理作業程序,以確保公司之資訊安全。
-
☉ 委外資安管理
針對業務委外所實施之資訊安全保護管制措施 ,使 委外廠商了解應遵循之要項,同時界定與委外廠商之責任範圍,以維護本公司之資訊安全。
-
☉ 事件通報應變
為降低資通安全事件所造成的衝擊與損害,於事件發生時能迅速通報、緊急應變處置,並儘速回復營運,進而從中學習,以達到預防再次發生的目標。
-
☉ 實體及環境安全
為降低環境因素之威脅與未經授權存取系統之機會,達成實體及環境安全控管之目的,訂定安全區域及設備安全管理規範,以確保資訊資產之安全。
-
☉ 存取控制管理
為保護公司之資訊資產,降低未經授權存取之風險,制定存取及權限相關規定,以達成安全控管之目的。
-
☉ 系統開發、獲取及維護
應用系統程式開發、取得與維護等相關作業,如系統需求分析(含安全需求分析 )、系統設計、系統開發 、系統測試、修改、上線、維護、變更、原始碼之管控與儲存等,皆需依照制定之作業規範,以確保資訊之機密性、 完整性及可用性。
-
☉ 營運持續管理
建立關鍵業務持續運作之遵循原則,識別關鍵業務及營運持續計畫之撰寫與演練,以確保遭受重大資通安全事件時,能在最短時間內提供最低可接受之服務,並迅速有效回復運作。
-
☉ 惡意軟體防護
針對惡意軟體管理與控制訂定作業指引,以防範應用軟體及系統不受病毒、木馬或任何形式惡意軟體影響,造成資訊資產的損害或影響業務運作。
-
☉ 備份作業管理
為確保電腦相關資訊系統及設備之可用性,及加強重要資料之保全,制定軟體及資料等資訊資產之備份管理作業規範。
-
☉ 網路管理作業
為防止在網路環境下,系統或資料遭受可能的破壞,或非預期、非經授權的修改,確保網路作業之安全。
-
☉ 帳號及通行密碼管理
為避免未經授權之存取各項資訊系統及網路設備等帳號與通行密碼,制訂相關管理作業準則。
資訊安全執行成果
-
☉ 資訊安全管理程序
完成訂定資訊安全政策,以及19份資訊安全管理程序書。 -
☉ 資訊安全風險評鑑
每年進行資訊資產鑑別及盤點,同時以系統化方法進行風險評鑑。 -
☉ 資訊安全認知訓練
完成100%全體員工資訊安全認知課程訓練。新進員工持續要求限期內完成資訊安全認知課程訓練。不定期對全體員工進行資安宣導。 -
☉ 營運系統持續管理
每半年針對重要營運系統進行系統還原演練,並依據演練結果進行檢討改進。 -
☉ 系統開發及維護安全
針對系統開發之程式碼進行源碼檢測,同時針對系統進行弱點掃瞄,以確保運行系統之資訊安全。 -
☉ 網路及設備資訊安全
建置具高可用性之網路閘道器,透過網路防火牆建立存取控管機制。端點設備安裝防毒軟體,並更新病毒碼至最新,持續強化端點設備防護。 -
☉ 資訊安全事件
未發生影響公司營運之重大資安事件,也未發生客戶或機密資訊外洩之事件。 -
☉ 資訊安全稽核及認證
每年執行內部資訊安全稽核。取得 ISO/IEC 27001:2013 資訊安全認證。