資訊安全管理

概念

  • 資訊對組織而言就是一種資產,和其它重要的 營運資產一樣有價值,因此需要持續給予妥善 保護。資訊安全可保護資訊不受各種威脅,確保持續營運,將營運損失降到最低,得到最豐厚的投資報酬率和商機。
  • 資訊安全是一種防止與偵測未經授權而使用、竊取、破壞您的資訊系統的一種過程與程序。
  • 資訊安全的工作必需事先妥善規劃、確實謹慎實行各項必要的資訊安全措施,並且持續不斷的檢討修正實施,以確保隨著時間的演進,仍可以維持資訊的安全性。
  • 為達到安全性管理目標,安全性管理的工作必需區分為下面三個控制層面:
                                                
                                               


資訊安全風險管理架構

  • 針對資訊安全之權責設立專業的資訊團隊,資訊部設置資訊主管乙名,與資安顧問人員數名,主要負責資訊安全政策、協助規劃暨執行資訊安全作業與資安政策推動與落實。
  • 本公司稽核室為資訊安全監理之督導單位,該室設置稽核主管乙名,並設置稽核職務代理人乙名,負責督導內部資安執行狀況,若有查核發現缺失,即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
  • 資訊團隊會至少每年召開一次會議,針對本公司現行之資訊安全管理制度進行審查。以確保相關程序的適用性、適切性及有效性皆符合本公司需求。並評估相關政策與目標的改進時機評估,或是其他的變更需求。本政策如遇重大改變時應立即審查,以確保其適當性與有效性。在必要時應告知相關單位及合作廠商,以利共同遵守。

                   

資訊安全技術控制

  • 適應性存取控制是一種基於內容感知的存取管控機制,其具備內容感知與動態降低風險兩種特性。所謂內容感知是指,根據提出資料存取請求時的狀況,如:存取者身份、使用的存取裝置類型...等,決定可以存取哪些資料,而動態降低風險則是指,在某種範圍內適度地開放原本可能被封鎖的存取行為,目前包括網路存取控制(NAC)都是基於這樣的運作架構。
  • 企業網路防火牆的建置,設置嚴格的防火牆策略控管網路的存取,對外是杜絕外部駭客的攻擊,保護公司內部伺服器上的資料安全和完整性,對內提供內部人員存取的紀錄,當有重大的網路資安問題產生時,可以提供相關的追蹤紀錄。
  • 基於雲端郵件系統微軟O365的保護策略,使用MailGates防護策略,結合全球反垃圾郵件引擎、進階防毒引擎、動態沙箱分析、惡意 URL 過濾引擎及信件詐騙智慧分析引擎,提供多層安全防護,解決惱人的垃圾郵件困擾,並可有效防範勒索病毒對企業造成的危害。
  • 針對個人電腦的資訊安全防護,採用卡巴斯基防毒軟體,有效地保護資料的完整性,以及個人防火牆能預防個人資料在網路上被竊取,並提供存取紀錄供日後追蹤。



資安事件通報程序

  • 本公司資通安全通報程序如下,資安事故之通報與處理,皆遵守該程序之規範進行。