English

資訊安全政策

資訊安全委員會架構與工作執掌:

確保本公司資訊安全管理,109年8月成立 資訊安全委員會,由董事長擔任召集人,成立跨部門小組,組織架構圖如下。

  • 負責執行資訊安全工作之推展與政策規劃。
  • 擬訂資訊安全政策及管理原則與作業標準。
  • 定期辦理有關資訊安全教育訓練。
  • 確認資訊資產的所有權與控制皆有適當的管理。
  • 監控、記錄與調查資訊安全事件。
  • 整理彙總年度執行資安風險狀況並定期向董事長報告。

資訊安全具體管理方案:

資訊安全具體管理方案因包含層面相當廣泛及深入,僅就下列諸項內容中簡舉例實際管理情形:

  • 人員安全管理及教育訓練。
  • 電腦系統安全管理。
    • 電腦病毒及惡意軟體之防範
      • 病毒防護軟體由資訊部統一進行定期規劃評估與建置安裝。
      • 本公司同仁應使用具合法版權軟體,避免上網下載來路不明之軟體。
      • 與外部交換資料時,使用資料前應啟動病毒防護軟體偵測。
  • 網路安全管理。
    • 網路安全規劃與管理
      • 本公司個人電腦需透過網卡位址(MAC Address)之比對,方可取得IP位址。
  • 系統存取控制。
    • 使用者存取管理
      • 所有網路使用者僅核發一個使用者帳號,如有特殊情形(如系統測試、免費軟體下載等用途),經會簽資訊部並奉核定後,始得核發匿名或多人共享的帳號。
  • 系統發展及維護之安全管理。
  • 資訊資產之安全管理。
  • 實體及環境安全管理。
    • 資訊機房安全管理
      • 機房管理人員應執行機房環境監測,每日填寫機房日誌,並注意機房溫溼度、空調及照明設備等之運轉狀況。
    • 實體設備及環境之安全管理
      • 電腦主機系統及其相關儲存與網路連結設備必須使用穩壓與不斷電系統供應電力,以避免電壓不穩定或瞬間斷電造成損害。
  • 業務永續運作計畫之規劃及管理。
    • 備援/備份作業之規劃與演練
      • 各部門資訊系統於上線運作後,應對該系統之原始程式碼進行備份2份,1份自行保管,另1份繳交資訊部統一進行異地儲存保管。
    • 資訊安全保障
      • 考量資安險仍是新興險種,理賠鑑識機構仍不明確且理賠條件無法適用所有資安事件,暫未投保資安險;在無投保資安險的情況下,為了降低可能發生資安事件所產生的危害,對內建立警示系統,於特定資訊安全事件發生時,能立即產生警示訊號通知系統管理人員,進而採取有效的防護措施,以減少人為疏失導致資安危害事件。
  • 定期向董事長報告資訊安全管理概況:
    報告日期 主要報告內容
    110/9/30 110年資訊安全查核與防護實際執行情形:
    1.每月端點防護軟體安裝啟動查核。
    2.每季強制進行端點電腦安全驗證。
    3.年中執行防護軟體政策稽核與矯正。
    4.實施端點設備辨識並控管網路存取。
    5.勒索病毒與間諜軟體之防禦與宣導。
    6.虛擬平台與容器映像的資安風險防護。
    7.電子郵件與社群網路詐騙宣導。
    8.宣導使用合法軟體避免下載來路不明之軟體。
    9.民國110年截至報告日止,未有經證實侵犯客戶隱私或遺失客戶資料之投訴事項。