資訊安全風險管理

確保可靠度目標之達成且持續改善

資訊安全管理架構

組織運作模式-採 PDCA(Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善。(如下圖)

數位應用部

本公司資訊安全之權責單位為數位應用部,該部設置主管乙名,與專業資訊人員數名, 負責訂定內部資訊安全管理政策、規劃暨執行資訊安全作業與資安政策推動與落實。

稽核室

本公司稽核室為資訊安全監理之督導單位,該室設置稽核主管乙名,與專職稽核人員數名,負責督導內部資安執行狀況,並定期向審計委員會報告公司資訊安全檢查情形, 若查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。

資訊安全管理策略

短期原則:優先處理緊急威脅

  • 端點安全-強化電腦全線管理
  • Web安全-強化上網瀏覽安全管理
  • 網路安全-強化內網合規存取
  • 網路安全-骨幹網路穩定確保
  • 員工資安意識-實施社交工程訓練演練
  • 身分識別機制-擴充高風險系統雙重認證機制
  • 資料外洩保護-文件分級分權管理機制
  • 上下游供應鏈對系統存取安全管理
  • 備援機制-伺服器虛擬化及備援
  • 文件監控-文件安全管理系統

中長期原則:優先資安與永續建置

  • 定期進行系統安全檢測
  • 強化員工資安意識
  • 持續增強IT基礎架構
  • 擴充異地機房備援/備份
  • 優化災害復原流程與演練
  • 增加資安檢核作業機制

資訊安全管理措施

資訊安全小組

成立資訊安全執行小組,訂定資訊安全管理政策及具體實施方案,以確保資訊安全。

個人資料保護法

依據個人資料保護法審慎處理個人資訊。

防毒軟體、更新密碼

個人電腦、伺服器皆需設密碼,並安裝防毒軟體,密碼及病毒碼需定期強迫更新。

軟體合法授權

應遵守智慧財產權相關規定,確保安裝之電腦軟體皆有合法授權。

定期備份

重要資料應進行備份,並定期確認備份有效性。

定期演練

依「資訊災難緊急應變計劃」定期演練,以利資安事件發生時快速恢復系統運作。

強化資安認知

定期執行資訊安全宣導作業,強化同仁資安認知及法令觀念。

具體安全管理方案

  • 109資訊安全具體管理方案

    下載
  • 110資訊安全具體管理方案

    下載
  • 111資訊安全具體管理方案

    下載
  • 112資訊安全具體管理方案

    下載

更新時間:2023.12.28

loading