資訊安全風險管理架構

組織編制介紹:

公司為確保資料、系統及網路安全,由資訊安全召集人與資安專責人員進行專責資訊安全事務的規劃與執行。

資訊安全風險管理機制:

執行資訊機房軟硬體設備、電腦資訊檔案存取安全、網路政策安全、郵件管理安全、資訊系統資料控制存取等管理。

資訊安全政策:

資訊安全之目標: 建立安全無虞以及可信賴資訊安全架構作業環境,確保本公司資料、系統、設備、檔案與網路安全,確保公司利益及各單位資訊系統之永續運作。                                                                

資訊安全具體管理方案:

項目具體規劃
防火牆防禦機制防火牆資安規則訂立,提供點對點SSL-VPN安全防護、與特殊需求規則訂立。
防毒軟體防範安裝防毒軟體,設定病毒碼自動更新,降低病毒感染機會,確保電腦安全性。
作業系統更新設定系統自動更新作業,讓系統處於最佳更新作業狀態,避免漏洞入侵感染風險。
郵件安全管控設定自動郵件掃描威脅防護機制,同仁收到郵件前先行過濾,對於惡意附件檔案、釣魚郵件、垃圾郵件,進行防堵與惡意連結的保護。
資料備份機制各系統執行備份與異地備援機制,確保資料完整與安全性
檔案伺服器使用使用檔案伺服器讓同仁放置作業檔案,資訊單位統一備份確保公司資料完整性

資安事件防堵與災難演練資源投入:

檢視各系統主機作業系統或重要軟體升級,並進行災害演練復原過程等重要的資安工作,並透過不定期的社交工程演練、資安健檢服務等,判斷系統、程式、軟硬體、網路安全、使用者等各維度的資訊安全觀念與層級是否足夠。

發生資安狀況時緊急通報程序:

當發生資訊安全事件時,發生資訊單位通報資安召集人,由召集人了解發生原因與措施,並指派資安專責人員進行資安處理及防範施行細節,避免下次再次類似資安事件發生。