資訊安全政策及管理方案
一、資訊安全風險管理架構
本公司資訊安全由管理部資訊課負責,訂定內部資安制度、規劃暨執行資訊安全作業與資安政策推動與落實,並依需求適時調整。
内部稽核負責查核內部資安執行狀況,每年稽核一次。
二、資訊安全政策
為貫徹本公司各項資訊管理制度能有效運作執行,維護重要資訊系統的機密性、完整性、可用性,以確保資訊系統之安全維運,達到永續經營目的。因此本公司資訊安全政策包含以下三個面向:
(一)制度規範:每年定期檢視相關制度是否符合法規與營運環境變遷,並依需求適時調整。
(二)資安防護系統建置:為防範各種外部資安威脅,除採多層式網路架構設計外,更建置各式 資安
防護系統,以提昇整體資訊環境之安全性。
(三)人員資安意識訓練:為降低內部人為因素對資訊安全之影響,資訊課會定期對員工實施資訊安
全教育訓練及宣導,以提昇全體同仁對資訊安全之認知及意識。
三、資訊安全管理措施
(一)電腦設備安全管理
1.本公司電腦主機、各應用伺服器等設備均設置於專用機房,機房皆有上鎖確保非必要人員進入。
2.機房內部備有獨立空調,維持電腦設備於適當的溫度環境下運轉;並放置藥劑式滅火器,可適用於一般或電器所引起的火災。
3.機房主機配置不斷電與穩壓設備,避免台電意外瞬間斷電造成系統當機,或確保臨時停電時不會中斷電腦應用系統的運作。
(二)網路安全管理
1.與外界網路連線的入口,配置企業級防火牆,阻擋駭客非法入侵。
2.台中辦公室與北區營業處及各工地連線作業,使用VPN連線方式,加強連線安全性避免遭受非法擷取。
3.配置上網行為管理與過濾設備,控管網際網路的存取,強化網路安全並防止頻寬資源被不當占用。
(三)病毒防護與管理
1.伺服器與同仁終端電腦設備內均安裝有端點防護軟體,病毒碼採自動更新方式,確保能阻擋最新型的病毒,同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為。
2.電子郵件伺服器配置有郵件防毒、與垃圾郵件過濾機制,防堵病毒或垃圾郵件進入使用者端的PC。
(四)系統存取控制
1.同仁對各應用系統的使用,透過公司內部規定的系統權限申請程序,經權責主管核准後,由資訊課建立系統帳號,並經系統管理員依所申請的功能權限做授權方得存取。
2.同仁辦理離職手續時,必須會辦資訊課,進行各系統帳號的刪除作業。
(五)確保系統的永續運作
1.系統備份:建置備份管理系統,採取日備份機制,備份媒體共有兩份, 一份保留於機房,另一份備份媒體存放於銀行保險箱(異地)。
2.租用電信公司數據線路,透過頻寬管理設備,確實管理網路頻寬。
四、資訊系統發展及維護之安全管理
1.系統之開發建置、維護、更新、上線執行及版本異動作業,應予安全管制避免不當軟體、後門及電腦病毒等危害系統安全。
2.委託廠商建置及維護重要之軟硬體設施,應在本公司資訊課人員監督及陪同下始得為之。
五、資安事件通報程序
本公司資通安全通報辦法流程如下,資安事故之通報與處理,皆遵守該程序之規範進行。
附件下載