一、資通安全風險管理架構
本公司負責資訊安全之權責單位為資訊部,負責制定內部資訊安全政策,規劃資訊安全作業與資安政策推動及落實。
為提升資訊安全管理,依公司組織設置資訊安全主管1名及依公司組織職務劃分設資訊安全專責人員1名。
每年稽核單位會定期查核,若有查核發現缺失,即要求受查單位提出改善措施並定期追蹤改善結果,以降低資安風險。
二、資通安全政策
本公司資訊安全政策為建立安全及可信賴之資訊作業環境,確保公司電腦資料、系統、設備及網路安全,以保障公司權益及業務持續運作。
三、具體管理方案
1.本公司為確保公司電腦資料、系統、設備及網路安全,訂定「資訊安全管理辦法」,提供給公司員工及合作夥伴,作為使用、維護及資訊系統之遵循準則,係採行與資訊資產價值相稱及具成本效益之管理、作業及技術等安全防護手段、措施或機制,以確實掌握公司各項資訊資產免遭不當使用、洩漏、竄改、竊取、破壞等情事。倘不幸遭受惡意攻擊、破壞或不當使用等緊急事故發生時,亦能迅速作必要之應變處置,並在最短時間內回復正常運作,以降低事故可能影響及危害本局業務運作之損害程度。管理辦法資訊安全管理之範圍包含:
(a)人員安全管理及訓練
(b)電腦主機安全管理
(c)資料安全管理
(d)系統開發維護安全管理
(e)網路安全管理
(f)網路存取之安全控制
(g)系統與網路入侵之處理
(h)設備安全管理
(i)實體環境安全管理
(j)業務持續運作計劃管理
2.本公司為確保資通安全檢查作業符合本公司需求,訂定「資通安全檢查管理辦法」,資通安全檢查需求評估之方式,可於不定期召開之資通安全會議中,針對以下議題進行討論,評估本公司現行環境所需之資通安全檢查之範圍、頻率與項目:
(a)公司機密資訊 (或重要資訊) 之定義與品質要求
(b)公司資訊化程度
(c)公司使用的資訊系統可靠性
(d)公司資訊作業委外程度
3.本公司為讓員工必需履行資訊安全保護責任,訂定「資訊安全保密協議書」,嚴格管理資料之利用與安全維護,建置防火牆、電子檔案加密系統及電子個資存放平台,以管制及稽核人員使用權限及記錄,以減少公司資訊安全風險。
四、投入資通安全管理之資源
本公司在資通安全方面已購置防火牆、路由器等網路管理設備及防毒軟體,未來預計不定期為所有使用資訊系統之人員辦理資訊安全宣導,並針對負責資訊安全之主管及人員每年安排資訊安全專業課程訓練。