資通安全風險管理架構
本公司「資訊安全管理委員會」負責審核資訊作業安全管理制度,建置資訊安全管理體系,統籌資訊安全及保護相關政策制定,「資訊安全管理委員會」由執行長擔任召集人;另「資安管理執行小組」負責規劃資訊安全措施,並執行相關之資訊安全作業,定期呈報董事會執行情形,「資安管理執行小組」由資訊部主管擔任負責人。
本公司稽核室為資訊安全監理之查核單位,依電子計算機作業系統控制 (含資通安全檢查)查核。定期追蹤改善成效,以降低公司資安風險。
資通安全政策及具體管理方案
強化資通安全管理,確保資訊的機密性、可用性以及完整性,並免於遭受內、外部的蓄意或意外的威脅,致使公司業務或營運無法正常運作或資訊遭受竄改、竊取或破壞等。相關管理辦法,茲闡述重點如下:
資通教育
新進人員皆完成資通安全管理教育訓練,資通安全宣導公告每季發送,年度共計執行兩次社交工程演練。
設備安全及帳號管理
設備機房得設置溫度控制、異常警告及不斷電系統等相關安全監控措施並應考量地震、火災等不可抗力事故發生時之緊急應變措施。
員工帳號依帳號命名原則建立帳號,員工帳號及其所設定密碼應符合系統複雜度原則,並定期更新密碼。由資訊部人員負責為公司配發之員工個人電腦進行作業系統、軟體、防毒軟體、安控軟體等安裝並進行電腦周邊設備的控管及記錄。
病毒防範及安全性更新
新竹市東區公道五路二段180號4樓公司配屬電腦設備皆安裝防毒軟體,定期更新病毒碼。強化網路控管,配置企業級防火牆,阻擋駭客非法入侵。與客戶進行定期的資安稽核,以滿足雙方對於資訊安全的高規格標準。
系統開發、資料安全及網路存取之安全控制
系統開發原始程式須備份,原始程式碼僅限專責之開發人員或系統管理員存取, 得提供測試環境做為開發、測試使用。非本公司員工不得使用本公司配屬員工之電腦或設備、帳號與密碼。公司配屬的電腦或設備,經申請核准後,可連線至公司網路,且僅提供必要的服務(如 mail、file及Internet),資訊安全人員每季檢核連線必要性。
軟體使用
禁止使用未經授權軟體,員工內部電腦軟體統一由資訊部安裝,並依工作型態配置預設軟體,資訊人員每月執行隨機抽查。
資通安全應變措施
資訊部依事件來源及事件分類分為五級依循不同通報程序處理。
資通安全管理
網路硬體
防火牆、垃圾郵件過濾器、郵件稽核備份設備、NAS與磁帶備份系統等。
軟體系統
防毒軟體、備份管理軟體等。
定期維護SOP
每日各系統狀態檢查、每日、週定期備份及備份媒體異地存放之執行、每年系統災難復原執行演練、定期資安宣導教育課程及資安演練,規劃並執行資訊安全措施,每年對資訊循環之內部稽核、會計師稽核等。
