1.資訊安全風險管理架構系統

(1)目的:
有關資訊系統安全預防及危機處理相關事宜建立電腦網路系統的安全控管機制。

(2)範圍:
適用於本公司資訊安全系統組建、運行、維護和管理控制,涵蓋以下領域:
① 內/外部網路
② 作業系統
③ 儲存介質管理

(3)權責:
① 電腦資訊系統之權責單位:管理部
② 公司內部設有專職人員並組成資安小組負責處理有關資訊系統安全預防及危機處理,並定期檢視政策之有效性向總經理報告。

(4)安全監控架構:
① 公司內部有專職人員負責處理有關資訊系統安全預防及危機處理相關事宜,以防範電腦網路風險與危機,維護資訊系統安全。
② 建立電腦網路系統安全控管機制,以確保網路傳輸資料安全,保護連網作業防止未經授權的系統存取,造成機密資料之外洩。
③ 對於跨公司之電腦網路系統,應特別加強網路安全管理,並且對內安裝防毒軟體,設置對外之網路防火牆,以防止電腦病毒、攻擊性之惡意軟體入侵,而造成公司網路系統癱瘓。

(5)檔案安全控制:
① 防止非相關人員存取系統資訊。
② 最高使用權限人員,應依各業務範圍、權責分別設定使用者之帳號及權限,並且不得私自更換使用,使用者一旦離開原職務,應立即撤銷該使用者之帳號及權限。
③ 使用者之帳號及密碼,應避免使用容易被識破及猜測的密碼,並且應定期更改密碼。

 
2.資訊安全政策:

(1) 教育員工正確使用合法軟體之概念,促使員工正確認知電腦病毒的威脅,進一步提昇員工的資訊安全警覺。
(2) 透過郵件系統公告即時資安訊息。
(3) 接觸資訊系統相關作業員工需簽訂【網路、版權軟體使用安全切結書】,違反本公司資訊安全政策、電腦軟體使用規範、相關規定之人員除送公司議處及遵照公司相關人事規範辦理外,並自負相關國家法律刑責。

3.具體管理方案:

資料備份及維護方式:
① 網路系統之資料,應每日定期備份重要檔案及資料,以備不時之需。
② 個人電腦及網路系統伺服器,應具備電腦病毒掃瞄工具,並且定期自動掃瞄電腦病毒與更新病毒碼。
③ 網路系統管理人員應負責網路安全規範的擬訂,執行網路管理工具之設定與操作,查核防火牆內外網路流量並覆核相關 Log 檔案確保系統與資料的安全性與完整性。

4. 資訊安全宣導:

(1) 相關使用者需簽訂網路/版權軟體使用安全切結書。
(2) 即時資訊安全訊息透過郵件系統公告。
(3) 每年定期於全廠月會進行教育訓練宣導,111 年本公司辦理資訊安全議題相關之教育訓練計 1 小時,總計 1 人次。

5. 投入資通安全管理之資源:

中華電信資安艦隊(入侵偵測防護系統)、防火牆、防毒軟體。

Close