資通安全政策
資通安全風險管理架構、政策及具體管理辦法
資通安全風險管理架構:
由總經理室所轄之資訊處負責資訊安全,該處資訊主管兼任資安主管負責資安規劃與網管部同仁兼任資安專責人員負責執行公司資安規劃相關事宜。
本公司稽核室擬定資通安全監理之查核單位,並就相關內部控制程序管理及定期進行內部稽核,以降低內部資安風險。
資通安全政策:
目的:
為強化資通安全管理,確保所屬之資訊資產的機密性、完整性及可用性,以提供本公司之資訊業務持續運作之資訊環境,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,特定此政策規範,作為本公司全體員工資訊安全之依循。
定義與目標:
為確保各項資訊系統免受任何因素之干擾、破壞、入侵或任何不當之行為,經由適當的系統規劃、程序規範及行政管理,以防範來自內、外部的威脅,達到維護資訊系統安全的目的。並在資訊系統遭受來自內、外部人員不當使用或蓄意破壞等緊急事故時,公司能迅速應變處置,在最短時間內回復正常運作,降低該事故可能帶來損害與不便。
組織架構:
由總經理室所轄之資訊處兼任資安主管負責資通安全規劃並由一名資安專責人員統籌資安規劃執行等相關事宜,並就相關內部控制程序管理及定期進行內部稽核。
適用對象:
適用於本公司所有資訊系統及其使用者。資訊使用者係包含全體員工及其他經授權使用之人員。
資通安全管理方案:
- 電腦設備安全管理
- 本公司電腦主機、各應用伺服器等設備均設置於專用機房,機房門禁採用感應刷卡進出,且保留進出紀錄存查。
- 電腦機房備有兩台獨立空調分時運轉並備援,確保機房內電腦設備於適當的溫度下運轉;並設置藥劑式滅火器與定期更換,防止意外災害發生。
- 機房主機配置穩壓與不斷電設備,並連結公司大樓樓下自備的發電機供電系統,可避免電力瞬間斷電造成系統停機,也確保臨時停電時不會中斷電腦應用系統的運作。
- 網路安全與病毒防護管理
- 與外界網路連線的入口,配置企業級防火牆與設定存取規則,經常更新版本以因應各種網路攻擊。
- 伺服器與同仁終端電腦設備內均安裝有端點防護軟體,並自動更新病毒碼方式,確保能阻擋最新型的病毒,同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為。
- 電子郵件伺服器前端有配置有郵件防毒、與垃圾郵件過濾閘道器,防堵病毒或垃圾郵件進入使用者端的電腦。
- 租用兩條不同電信公司數據線路,透過頻寬管理設備,兩線路互為備援使用,確保網路通訊不中斷。
- 系統存取控制
- 同仁對各應用系統的使用,透過公司內部規定的系統權限申請程序,經權責主管核准後,由資訊處建立系統帳號,並經各系統管理員依所申請的功能權限做授權方得存取。
- 帳號設置的密碼強制定期更改並規定適當的強度,要求必須英文數字、特殊符號混雜,符合密碼原則。
- 同仁辦理離(休)職手續時,必須會簽資訊處,進行各系統帳號的刪除或停用作業。
- 資料備份與復原演練
- 建置備份管理系統,採取數份備份原則,本地端機房使用不同的備份媒介儲存,其餘備份資料存放於異地。
- 災害復原演練:重大系統每半年實施一次演練,選定還原日期基準點後,由備份媒體回存於系統主機確認回復資料的完整性,以確保備份媒體的正確性與有效性。
- 資通安全管理宣導與教育訓練
- 每月定期對員工發送宣導資通安全事項郵件及不定期舉辦教育訓練,強化員工資安意識。
- 加入台灣電腦網路危機處理際協調中心聯盟,取得資安情資分享以及相關資安資訊。
- 資安主管及資安專責人員每年定期接受資訊安全相關教育訓練或認證課程。
- 每年進行至少一次的電子郵件社交工程演練。
- 每半年定期召開資訊安全會議,檢討資安相關政策及執行結果。
- 緊急通報程序
-
當發生資通安全事件時,發生單位應主動通報資訊處,由資安人員判斷事件類型並找出問題點,即時處理並留下處理事件紀錄。