資訊安全風險管理架構
- 資訊安全之權責單位為總管理處,負責規劃、執行及推動資訊安全管理政策事項,並推展資訊安全意識。
- 安格科技稽核單位資訊安全監理之查核單位,若每年內部稽核、委外稽核、ISO9001,查核發現缺失,即要求受查單位提出相關改善計畫並呈報董事會,且定期追蹤改善成效,以降低內部資安風險。
- 組織運作模式-採 PDCA(Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善。
資訊安全政策
為落實資安管理,公司訂有內部控制制度—電子計算機循環及資訊安全管理辦法,藉由全體同仁共同努力期望達成下列政策目標
- 確保資訊資產之機密性、完整性、可用性。
- 確保依據部門權限資料存取及未經授權修改或使用資料與系統。
- 確保資訊系統之永續運作。
- 防止駭客、各種病毒入侵及人為意圖不當及不法使用。
- 定期執行資安稽核作業,確保資訊安全落實執行。
資訊安全管理方案
- 防火牆防護
- 防火牆設定內外部連線規則。
- 如有特殊連線需求依申請流程開放。
- 外部存取安全強化、SSLVPN with Token 。
- 使用者上網控管機制、Web &Video Filtering。
- 端點防護及防毒軟體
- 具備防毒,防勒索,未知程式保護,漏洞管理,更新管理。
- 郵件安全管控
- 垃圾、惡意電子郵件防禦。
- 電子郵件稽核、歸檔系統。
- 系統存取控制
- 依公司內部規定的系統權限申請程序。
- 重要資料落實分權管理。
- 資訊設備安全管理及資料備份機制
- 電腦主機、各應用伺服器等設備均設置於專用機房,機房保留進出紀錄存查。
- 建置備份系統,採取日、週備份機制,重要系統採異地備援及雲備援。
- 災害復原演練依實施日每年一次演練。
資訊安全執行狀況
- 委外資安機構,檢視公司內對外網路有無惡意活動,執行結果安全。
- 本公司目前無重大資安事件導致營業損害之情事。
- 持續落實資訊安全管理政策目標,並定期檢視備份資料可用性,保護公司重要系統與資料安全。
- 委外資安機構,進行社交工程演練,強化資安意識
- 主動加入台灣電腦網路危機處理暨協調中心TWCERT,參與情資分享,為社會盡一份力量,強化安全性
資安緊急通報程序
發生資訊安全事件時,發生單位通報資訊安全處理小組,聯繫相關單位,判斷事件類型並找出問題點,即時處理並留下紀錄。
- 法務部調查局-資通安全
- 台灣電腦網路危機處理暨協調中心-簡易資安事件通報