資通安全管理
資通安全風險管理架構
1、本公司資訊中心為非隸屬使用者單位之獨立單位,設置資訊主管乙名,與專業資訊人員乙名,負責 訂定資通安全政策、建立資通安全管理方案,規劃暨執行資通安全作業,定期檢討資通安全政策, 並定期向董事會報告。
2、本公司稽核室每年就內部控制制度—電子計算機循環,進行資通安全查核,若查核發現缺失, 即要求受稽查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低資安風險。
資通安全政策
1、確保資訊資產之機密性、完整性。
2、確保依據部門職能規範資料存取。
3、確保資訊系統之持續運作。
4、防止未經授權修改或使用資料與系統。
5、定期實施教育訓練,共同維護資安。
6、定期執行稽核作業,確保資通安全落實執行。
具體管理方法及投入資源
| 管理項目 | 具體管理方法及投入資源 |
|---|---|
| 電腦設備管理 |
1. 本公司電腦主機、各應用伺服器等設備均設置於專用機房,機房保留進出紀錄存查。 2. 機房內部備有獨立空調,維持電腦設備於適當的溫度環境下運轉;並放置CO₂二氧化碳氣體式滅火器,可適用於一般或電器所引起的火災。 3. 機房主機配置不斷電與穩壓設備,避免異常斷電造成系統當機,或確保臨時停電時不會中斷電腦應用系統的運作。 |
| 網際網路管理 |
1. 架設防火牆(Firewall)。 2. 伺服器與電腦用戶端均安裝有端點防護軟體(具有防毒、防駭功能)。 3. 各項網路服務之使用皆依據資訊安全政策執行。 4. 定期檢查各項網路服務項目之System Log,追蹤異常之情形。 |
| 資料存取管理 |
1. 電腦有專人保管,並設定帳號與密碼,密碼必須符合複雜性需求,且定期進行變更。 2. 依據職能分別賦予不同存取權限。 3. 調離人員取消原有權限。 4. 設備報廢前先將機密性、敏感性資料及版權軟體移除或覆寫。 |
| 應變復原機制 |
1. 建立系統備份機制,落實異地備份。 2. 每年不定期實施一次災害復原計畫演練,選定還原日期基準點後,由備份媒體回存於系統主機,確保備份媒體的正確性與有效性。 |
| 訓練及稽核 |
1. 隨時宣導資通安全資訊,並定期實施教育訓練,提升員工資安意識。 2. 每年定期執行資通安全稽核檢查。 |
執行狀況
| 執行日期 | 執行內容 | 執行頻率 |
|---|---|---|
| 每日 | 檢查各項網路服務項目之System Log | 1次/日 |
| 每日 | 備份 | 1次/日 |
| 每月 | e-mail發送資安宣導 | 1次/月 |
| 2025.07.30 | 資通安全稽核 | 1次/年 |
| 2025.09.22 | 資安教育訓練 | 1次/年 |
| 2025.12.15 | 緊急應變復原演練 | 1次/年 |
| 2025.12.19 | 資安政策檢討會議 | 1次/年 |
| 2025.12.29 | 向董事會報告 | 1次/年 |
本公司最近二年度及截至2025年12月止,無重大資安事件導致營業損害之情事。