資通安全管理
資通安全管理
- 資通安全架構
- 本公司資通安全主管由資訊組經理專責兼任,資通安全人員由資訊組工程師專責兼任。
- 資通安全人員負責規劃及執行資通安全稽核與管理作業,定期提出資訊安全內部稽核計劃,查核公司資通安全事項。若查核發現缺失,立即要求受查單位提出相關改善計畫,並呈報資安主管。
- 每年會計師會進行內部資通安全查核,發現缺失,會要求提出改善措施並追蹤改善結果。
- 資安主管每年定期向董事會報告公司資訊安全治理執行狀況。
- 資訊安全政策
- 為確保資訊的可用性、完整性以及機密性,並免於遭受內、外部的蓄意或意外的威脅,南帝公司在資訊安全管理政策說明如后:
- 適用對象
本公司所屬同仁及與本公司有業務往來之廠商、訪客等,皆應遵守本政策。
- 資訊設備
- 本公司各應用伺服器等設備均設置於專用機房,機房設置門禁管理,且保留進出紀錄存查。
- 機房內部備有獨立空調,維持適當溫度及濕度。設置二氧化碳滅火器,可適用於一般或電器所引起的火災。
- 機房主機配置UPS不斷電與穩壓設備,連結公司自備發電機供電系統,避免意外瞬間斷電,造成系統毀損。確保停電時,不會中斷電腦應用系統的運作或損傷。
- 網路安全管理
- 強化網路監控,建置防火牆及擬定策略,規範內外流量,阻擋駭客非法入侵。
- 同仁由遠端登入公司內網存取資訊,須事先進行申請,使用安全的方式登入使用,且均留有使用紀錄可稽查。
- 與各分公司的連線,均採用VPN加密方式進行,避免資料被竊取。
- 病毒防護與管理
- 伺服器與用戶終端電腦設備內均安裝有防護軟體,定期更新病毒碼,同時可偵測、防止具有潛在威脅性的系統執行檔之異常行為。
- 電子郵件伺服器搭配防毒、垃圾過濾機制,防堵病毒或垃圾郵件進入用戶端電腦。
- 防病毒系統偵測攔截到病毒,立即予以隔離或刪除,並主動發出風險報告,以利管理人員採取相關措施。
- 資訊存取控制。
- 同仁對各應用系統使用,透過公司內部規定的系統權限申請程序,經權責主管核准後,由資訊組建立系統帳號,依所申請的功能權限做授權方得存取。
- 帳號密碼設置,規定適當強度、字數,且必須文數字、特殊符號混雜,才能通過。
- 同仁辦理離(休)職手續時,必須會辦資訊組,進行各系統帳號的刪除作業。
- 與本公司業務往來之廠商、訪客等,有存取本公司資訊資產需求時,應進行必要審核。且該等人員負有保護本公司資訊資產責任。
- 確保系統的永續運作。
- 備份:定期進行資料備份,確保資料被破壞後,可立即還原。
- 災害復原演練:每年定期實施演練,確保備份媒體的正確性與有效性。
- 租用電信公司兩條數據線路,透過網管設備並聯及備援,確保網路通訊不中斷。
- 資安宣導與教育訓練
- 向同仁宣導資安重要性,勿進行違反資訊安全政策之行為。
- 定期對內部同仁實施資訊安全相關的教育訓練課程。
- 已加入「台灣電腦網路危機處理暨協調中心TWCERT/CC」會員,收集資安情資,內部宣導。
- 資安專責人員具資訊安全管理主稽核員證照,定期接受資訊安全相關教育訓練。
- 資訊安全通報程序
