資通安全風險管理架構
資通安全風險管理架構
一、 資通安全風險管理架構與組織運作模式
l 本公司資訊室為資通安全之權責單位,負責公司整體資安規劃、風險管理、推動與執行,並指派專責人員擔任資安主管統籌日常運行管理。
資訊安全管理委員會架構如下圖所示:
l 本公司稽核室為資通安全監理之查核單位,且於本公司永續發展委員會重大議題風險評估,資訊安全管理列為定期重要風險評估項目、定期檢視風險對應成果,以降低內部資安風險;併同永續發展委員會議推動結果定期向董事會報告,且定期追蹤改善成效。
l 本公司於113年進行ISO 27001:2022資訊安全管理系統(ISMS)輔導,並於114年5月取得第3方驗證機構認證,目前證書期間為114/5/13至117/5/12,除強化安全防護措施(威脅情報、組態管理及雲端服務等日常管理),更以PDCA手法落實資訊安全管理工作推展,全面建構公司資訊安全管理體系的”機密性”、 “完整性”、“可用性”, 並依「事前預防」、「事中應變」、「事後復原」等不同面向的管理規劃持續強化資訊安全管理。
二、資通安全政策
1.確保組織內資訊資產受到適當的管理和保護、運作不中斷
2.識別和評估潛在的資訊安全風險,防止駭客、各種病毒入侵及破壞
3.風險偵防,資料隱私保護避免資料外洩
三、資通安全具體管理方案
|
管理方案項目 |
管理方案內容 |
|
網路安全與存取控制 |
· 配置企業級防火牆及安全政策、入侵檢測系統和防毒軟體等安全措施,阻擋駭客非法入侵。 · 各作業系統存取權限皆經權責主管核准後開啟使用,並記錄存取軌跡。 . 可攜式電腦或儲存媒體進行管控措施,以防止未經授權之資料、系統或網路存取。 . 桌上型電腦、可攜式電腦、伺服器等,皆設定閒置登出鎖定,並設定定期更改密碼,以避免未經授權之存取。 |
|
病毒防護 |
· 伺服器均安裝防護軟體(MDR)及惡意程式監控軟體。 · 端點電腦病毒碼採自動更新方式,亦定期查看防毒軟體更新狀況。 . 資安人員不定期抽查各項防護軟體病毒碼更新及掃描紀錄抽查,確保設備安全穩定運行。 |
|
漏洞管理 |
· 不定期弱點掃描進行漏洞填補並追蹤改善。 .定期查閱資安組織及社群相關資安通報,檢視內部軟硬體版本是否有暴露風險,進而更新改善。 |
|
資產保全管理 |
· 機房門禁進出管制與電腦主機、伺服器等設備進出皆有記錄存查,同時安裝攝影機及消防設備確保機房安全。 · 機房內部備設置獨立空調,維持機房於適當的溫度環境下運轉。 . 資訊機房設置不斷電系統(UPS),以保障市電異常時資訊設備能持續運作。 . 資通訊相關設備皆進行造冊管理,並定期進行資產盤點避免有未經授權非法設備,強化資訊安全。 |
四、資通安全的資源投入
本公司資訊室共5人,負責公司資通安全,並每週內部會議檢討各項資安設施檢視與異常排除情形,確認設施有效運作;針對系統主機的作業系統或重要軟體升級、災害復原演練等重要的資安工作亦有規劃執行,不定期委託專業機構弱點掃瞄及滲透測試,適時進行軟硬體漏洞填補,並每年編列資安升級預算汰換老舊設備及進行軟體升級,確保整體資訊安全。
每年持續通過ISO 27001資訊安全管理(ISMS)認證審查,相關資安稽核亦無重大缺失。
五、緊急通報程序
公司已建置緊急任務編組,當資訊安全事件發生,由發生單位通報資訊室啟動任務小組進行狀況排除。
