资通安全管理及具体执行情形
叙明资通安全风险管理架构、资通安全政策、具体管理方案及投入资通安全管理之资源等。资通安全风险管理架构
本公司资讯单位专责资讯安全,定期向资讯主管会报资安管理运作情形。公司之内部系统皆位于内部网路之中,外部网路受隔离无法直接进入,并且采用多重网路安全防御系统,位于网路前端之防火墙、入侵防御连线筛检系统、邮件内安全控管系统负责过滤网路进出连线的内容,能防御外部网路攻击,并即时封锁最新恶意软体、有害之网路连结、垃圾电子邮件等威胁。
资通安全政策及具体管理方案
本公司已订定电子资料内部控制制度,以维护资讯安全政策。透过每年检视和评估其安全规章及程序,确保其适当性和有效性,因应措施说明如下:(1) 资讯安全政策:
A. 确保本公司资料、系统、设备及网路通讯安全,阻绝外界之入侵、破坏。
B. 确保系统资讯帐户存取权限与系统之变更均经过公司规定程序授权处理。
C. 落实销毁程序,已报废之电脑储存媒体应加以销毁避免资料意外暴露外流。
D. 监控资讯系统之安全状态与活动纪录,有效掌控并处理资讯安全事件。
E. 维护资料与系统之可用性与完整性,发生灾害或受破坏时,可回复正常作业。
目前本公司资讯安全维护措施完备且考量资安险仍是新兴险种,且涉及资安分级和理赔鉴识等配套,因此尚在评估未来适用性之阶段。
(2) 资安网路架构
位于内部网路之主机及端点皆由中控台布署防毒软体,随时更新病毒码与即时办识恶意行为特征,能即时拦截病毒木马蠕虫、勒索软体、文件夹带之恶意程式等,有效降低被骇客攻击损害之风险。
(3) 系统帐号生命周期管理与权限帐号管理
依各业务范围、职权分别设定使用者之帐号及权限,资料之存取皆需透过签核流程经各权责主管申请并核准后始能使用与变更。使用者一旦离开原职务,立即撤销该使用者之帐号与权限,以防范未经授权之使用。
(4) 资料存取纪录稽核备存
能纪录系统档案文件存取之轨迹记录、往来邮件等资料,进行归档保存。报废程序完成之电脑均执行硬碟拆解破坏以符合法规遵循的管理制度及资安政策。
(5) 资讯系统持续运作
系统与文件皆采取每日、每周及每月之本地备份,每月之备份资料再传输到异地做异地备份,并每年定期执行系统资料复原测试演练,以确保资讯系统之正常运作及资料保全,可降低无预警天灾及人为灾害造成之资料损失风险。