資訊安全風險管理架構
一、組織架構
(一)為強化本公司之資訊安全管理、確保資料、系統及網路安全,112/08/08於資訊室設立資訊安全專責主管、資訊安全專責人員1名,並於董事會報告。
(二)資訊安全由資訊室主管負責,由資訊人員執行管理。建置資通安全風險管理架構定期檢討資安政策,112/11/08於董事會報告112年度落實情形。
二、管理機制
執行資訊機房、電腦資訊檔案、網路、郵件及資訊系統控制存取等管理。
三、資訊安全政策
資訊安全之目標:
建立安全及可信賴之電腦化作業環境,確保本公司資料、系統、設備及網路安全,保障公司利益及各單位資訊系統之永續運作。
資訊安全之範圍:
(一)人員管理及資訊安全教育訓練。
(二)作業系統安全管理。
(三)網路安全管理。
(四)系統存取管制。
(五)系統維護安全管理。
(六)資訊資產安全管理。
(七)實體及環境安全管理。
(八)資訊系統永續運作計畫管理。
(九)資訊安全稽核。
資訊安全的原則及標準:
(一)定期辦理資訊安全教育訓練及宣導,包括資訊安全政策、資訊安全法令規定、資訊安全作業程序、以及如何正確使用資訊科技設施等,促使員工瞭解資訊安全的重要性,各種可能的安全風險,以提高員工資訊安全意識,並遵守資訊安全規定。
(二)為預防資訊系統及檔案受電腦病毒感染,對於電腦病毒採取偵測及防範措施,對入侵及惡意攻擊建立主動式入侵偵測系統,以確保電腦資料安全之要求。
(三)為預防本公司遭遇天災或人為之重大事件,將造成重要資訊資產及關鍵性業務或資訊系統等中斷,建立資訊系統永續運作規劃之政策。
員工應遵守之相關規定:
(一)資訊帳號申請及異動,須填寫「資訊帳號及權限申請(異動)表」,送交資訊組辦理。
(二)電腦資料及設備,不得任意破壞、外借或不正當修改,以維護資訊安全。
(三)禁止使用非法或無授權之軟體。
(四)電腦作業結束或長時間不使用時,應登出或關機,以免資料機密外洩,或為他人所破壞。
(五)電腦設備之擺放位置,除以方便為原則外,應遠離茶水或潮溼地點,以保障設備安全。
(六)電腦使用者離職或職務異動時,由資訊組衡量資料相關性作適當處置。
(七)電腦設備無法正常作業時,使用者應立即通知資訊組檢查或維修。
四、管理方案
防火牆:
建立設定連線安全規則。
使用者上網控管機制:
(一)管制使用者上網行為,限制訪問特定非工作相關網站。
(二)自動過濾使用者上網可能連結到有惡意病毒或程式之網站。
防毒軟體:
全電腦設備安裝防毒軟體,病毒碼採自動更新,降低病毒感染風險。
作業系統:
作業系統應採自動更新,以維持系統安全性。
郵件安全管控:
(一)有自動郵件掃描威脅防護,在使用者接收郵件之前,事先防範不安全的附件檔案、釣魚郵件、垃圾郵件,及擴大防止惡意連結的保護範圍。
(二)個人電腦接收郵件後,防毒軟體也會掃描是否包含不安全的附件檔案。
資料定期備份作業:
公司資訊每日鏡像備份,每週完整備份,每八週異地備份。
重要檔案上傳伺服器:
重要檔案儲存於網路資料夾,保存於伺服器,並定期備份。
五、緊急通報程序
當發生資訊安全事件時,發生單位應立即通報資訊組,判斷事件類型,並找出問題點,即時依事件處理。
112年落實情形:
112/07/11:「網站應用防火牆 預設安全策略設定」教育訓練,共2人,4小時。
112/08/08:對全員宣導「公司嚴禁使用盜版及來路不明軟體」共計98人。
112/08/08:資訊室設立資訊安全專責主管、資訊安全專責人員1名,並於董事會報告。
112/10/31:「加強資安防護觀念 避免勒索病毒危害」宣導。
112/11/01:
1.要求員工依照本公司電子計算機處理循環,文件十、資通安全作業之系統安全監控第(4)規定,員工應避免透過公司網路收發或下載與業務無關或來路不明之郵件或非法軟體,以避免佔用公司之網路資源,及增加電腦病毒感染機會。
2.請各位同仁定期更新系統密碼,以確保資訊安全性。為了保護個人資訊安全,建議經常變更各系統密碼,請至少6個月定期更新個人系統密碼。
112/11/08:於董事會報告112年度落實情形。
112/12/04:
1.「Symantec Endpoint Protection」防毒軟體更新通知。
2.請各位同仁定期更新系統密碼,以確保資訊安全性:
113年落實情形:
113/01/05:
1.要求員工依照本公司電子計算機處理循環,文件十、資通安全作業之系統安全監控第(4)規定,員工應避免透過公司網路收發或下載與業務無關或來路不明之郵件或非法軟體,以避免佔用公司之網路資源,及增加電腦病毒感染機會。
2.請各位同仁定期更新系統密碼,以確保資訊安全性。為了保護個人資訊安全,建議經常變更各系統密碼,請至少6個月定期更新個人系統密碼。
113/02/01、113/04/01
(1).「Symantec Endpoint Protection」防毒軟體更新通知。
(2).請各位同仁定期更新系統密碼,以確保資訊安全性。
113/04/22
[資安宣導] 跟大家分享五招防護秘技:
近期有部份上市公司通報遭受加密軟體攻擊,進而影響公司正常營運,提醒同仁特別留意。
加密軟體為常見之攻擊手法,除電子郵件、社群媒體等常見的入侵管道外,近期有案例顯示SQL注入(SQL Injection,SQLi)漏洞亦存在被駭客利用作為加密軟體入侵管道的風險。
資安威脅可說是防不勝防,但我們仍應做好基本的防護,今日還是不厭其煩的提醒大家:
一、作業系統更新
這是最基本的防護措施了,雖然病毒技術日新月異,但安全性更新可免於目前已知的威脅。
二、防毒軟體更新
定期更新病毒定義檔,有助毒病認別能力,此外防毒軟體還能做到主動防護,就算手賤不小心下載到髒東西,也會幫你刪除。
三、使用具自主防護功能之瀏覽器
現今主流瀏覽器均已具備自動更新能力,別用IE(Internet Explorer)就好了。
四、不點擊可疑的網站及電子郵件
這就是常說的「網路釣魚」,常以網址連結及電子郵件等形式等人上勾,在點擊連結前請三思。
五、不安裝來路不明或非法軟體
這些軟體裡可能含有惡意程式。
113/05/02:
1.「Symantec Endpoint Protection」防毒軟體更新通知。
2.請各位同仁定期更新系統密碼,以確保資訊安全性: