風險管理

風險管理

資訊安全風險控管

  1. 資訊安全與管理制度:為強化本公司資訊安全,健全資訊安全管理制度,由資訊中心負責建置資安風險管理規則。遇有資安風險事件時,由資訊中心主管召集會議,由各相關部門主管參加,技術性相關事宜由資訊人員提出解決方案與後續預防改善措施。

  2. 資訊安全風險管理
    1. 因公務接觸任何公司資料都必需遵守保密規定,不得洩露資料給他人。
    2. 電腦密碼須定期更換,禁止使用相同密碼,避免張貼密碼在容易洩漏的地方。
    3. 禁止安裝非授權軟體,若涉及任何法律行為須由該電腦使用者自行負責。
    4. 各項重要資料、檔案皆定期資料備份。避免因設備故障或人為因素造成的資料損毀影響業務。
    5. 建置多組輔助及替換電腦設備,以降低資訊系統中斷風險。
    6. 安裝病毒防護軟體,及時隔絕與排除病毒感染與擴散。
    7. 對外進行商業資料交換時,均使用加密機制進行傳輸及交換,且使用及維護均制定嚴密之作業管制流程,建構完善安全防護系統防範駭客非法攻擊。
       
  3. 具體管理方案
    1. 建置防火牆阻絕外界攻擊和Websense員工上網過濾機制,防禦過濾惡意網址及進階持續性威脅攻擊防禦等系統,並管制無上網需要之員工上網、電子郵件備份稽核過濾等管控機制,以防範網路攻擊。
    2. 建立門禁控管、應用系統登入身份驗證、密碼控管、存取授權及定期進行弱點掃描等稽核機制,並安裝防毒軟體、更新原廠安全性修補程式、控管USB存取及建立備援機制,以強化防護。
    3. 每年定期對員工進行資訊安全教育訓練,強化員工的資安風險意識。
    4. 每年檢視資安防護措施及規章,關注資安議題及擬定因應計劃,以確保其適當性及有效性。

     

EN