資訊安全管理架構
組織運作模式-採 PDCA(Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善。(如下圖)
數位應用部
本公司資訊安全之權責單位為數位應用部,該部設置主管乙名,與專業資訊人員數名, 負責訂定內部資訊安全管理政策、規劃暨執行資訊安全作業與資安政策推動與落實。
稽核室
本公司稽核室為資訊安全監理之督導單位,該室設置稽核主管乙名,與專職稽核人員數名,負責督導內部資安執行狀況,並定期向審計委員會報告公司資訊安全檢查情形, 若查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
資訊安全管理策略
短期原則:優先處理緊急威脅
- 端點安全-強化電腦全線管理
- Web安全-強化上網瀏覽安全管理
- 網路安全-強化內網合規存取
- 網路安全-骨幹網路穩定確保
- 員工資安意識-實施社交工程訓練演練
- 身分識別機制-擴充高風險系統雙重認證機制
- 資料外洩保護-文件分級分權管理機制
- 上下游供應鏈對系統存取安全管理
- 備援機制-伺服器虛擬化及備援
- 文件監控-文件安全管理系統
中長期原則:優先資安與永續建置
- 定期進行系統安全檢測
- 強化員工資安意識
- 持續增強IT基礎架構
- 擴充異地機房備援/備份
- 優化災害復原流程與演練
- 增加資安檢核作業機制