資通安全風險管理架構*
資通安全風險管理架構
一、資通安全風險管理架構與組織運作模式
l 本公司資訊室為資通安全之權責單位,負責公司整體資安規劃、風險管理、推動與執行,並指派專責人員擔任資安主管統籌日常運行管理。
l 本公司稽核室為資通安全監理之查核單位,且於本公司永續發展委員會重大議題風險評估,資訊安全管理列為定期重要風險評估項目、定期檢視風險對應成果,以降低內部資安風險;併同永續發展委員會議推動結果定期向董事會報告,且定期追蹤改善成效。
二、資通安全政策
1.確保組織內資訊資產受到適當的管理和保護、運作不中斷
2.識別和評估潛在的資訊安全風險,防止駭客、各種病毒入侵及破壞
3.風險偵防,資料隱私保護避免資料外洩
三、資通安全具體管理方案
管理方案項目 |
管理方案內容 |
網路安全與存取控制 |
· 配置企業級防火牆及安全政策、入侵檢測系統和防毒軟體等安全措施,阻擋駭客非法入侵; · 各作業系統存取權限皆經權責主管核准後開啟使用,並記錄存取軌跡。 |
病毒防護 |
· 伺服器均安裝防護軟體(MDR)及惡意程式監控軟體; · 端點電腦病毒碼採自動更新方式,亦定期查看防毒軟體更新狀況。 |
漏洞管理 |
· 不定期弱點掃描進行漏洞填補並追蹤改善。 |
資產保全管理 |
· 機房門禁進出管制與電腦主機、伺服器等設備進出皆有記錄存查; · 機房內部備設置獨立空調,維持機房於適當的溫度環境下運轉。 |
四、資通安全的資源投入
本公司資訊室共4人,負責公司資通安全,並每週內部會議檢討各項資安設施監看與異常排除情形,確認設施有效運作;針對系統主機的作業系統或重要軟體升級、災害復原演練等重要的資安工作亦有規劃執行,不定期委託專業機構弱點掃瞄,適時漏洞填補,並每年編列資安升級預算汰換老舊設備,確保整體資訊安全。
五、緊急通報程序
公司已建置緊急任務編組,當資訊安全事件發生,由發生單位通報資訊室啟動任務小組進行狀況排除。