1.资讯安全风险管理架构系统
(1)目的:
有关资讯系统安全预防及危机处理相关事宜建立电脑网路系统的安全控管机制。
(2)范围:
适用于本公司资讯安全系统组建、运行、维护和管理控制,涵盖以下领域:
① 内/外部网路
② 作业系统
③ 储存介质管理
(3)权责:
① 电脑资讯系统之权责单位:管理部
② 公司内部设有专职人员并组成资安小组负责处理有关资讯系统安全预防及危机处理,并定期检视政策之有效性向总经理报告。
(4)安全监控架构:
① 公司内部有专职人员负责处理有关资讯系统安全预防及危机处理相关事宜,以防范电脑网路风险与危机,维护资讯系统安全。
② 建立电脑网路系统安全控管机制,以确保网路传输资料安全,保护连网作业防止未经授权的系统存取,造成机密资料之外泄。
③ 对于跨公司之电脑网路系统,应特别加强网路安全管理,并且对内安装防毒软体,设置对外之网路防火墙,以防止电脑病毒、攻击性之恶意软体入侵,而造成公司网路系统瘫痪。
(5)档案安全控制:
① 防止非相关人员存取系统资讯。
② 最高使用权限人员,应依各业务范围、权责分别设定使用者之帐号及权限,并且不得私自更换使用,使用者一旦离开原职务,应立即撤销该使用者之帐号及权限。
③ 使用者之帐号及密码,应避免使用容易被识破及猜测的密码,并且应定期更改密码。
2.资讯安全政策:
(1) 教育员工正确使用合法软体之概念,促使员工正确认知电脑病毒的威胁,进一步提升员工的资讯安全警觉。
(2) 透过邮件系统公告即时资安讯息。
(3) 接触资讯系统相关作业员工需签订【网路、版权软体使用安全切结书】,违反本公司资讯安全政策、电脑软体使用规范、相关规定之人员除送公司议处及遵照公司相关人事规范办理外,并自负相关国家法律刑责。
3.具体管理方案:
资料备份及维护方式:
① 网路系统之资料,应每日定期备份重要档案及资料,以备不时之需。
② 个人电脑及网路系统伺服器,应具备电脑病毒扫瞄工具,并且定期自动扫瞄电脑病毒与更新病毒码。
③ 网路系统管理人员应负责网路安全规范的拟订,执行网路管理工具之设定与操作,查核防火墙内外网路流量并覆核相关 Log 档案确保系统与资料的安全性与完整性。
4. 资讯安全宣导:
(1) 相关使用者需签订网路/版权软体使用安全切结书。
(2) 即时资讯安全讯息透过邮件系统公告。
(3) 每年定期于全厂月会进行教育训练宣导,111 年本公司办理资讯安全议题相关之教育训练计 1 小时,总计 1 人次。
5. 投入资通安全管理之资源:
中华电信资安舰队(入侵侦测防护系统)、防火墙、防毒软件。