資通安全風險管理
(1)資通安全風險管理架構:
A. 本公司由資訊處負責資訊安全政策管理與規劃,並負責資訊安全相關事件處理與通報。
B. 針對資訊安全之防毒、防災、防駭、防漏等之機制,定期向總經理進行彙整報告。
(2)資通安全政策:
訂定資訊安全管理規範,確保本公司資訊資產之機密與安全及法律遵循,並制定危害發生處理程序
以期降低影響至 最低。
(3)具體管理方案
項目
具體管理措施
實體安全
裝置安全
網路安全
資料安全
教育宣導
(4) 資安風險與因應措施 為確實強化資安防護,辨識資安風險項目,並提出因應措施且定期檢視成效。
辨識資安風險
影響評估
因應措施
成效管理
個人電腦帳號密碼保全
財務業務機密被有心人士竊取。
個人電腦開機密碼定期修改。
需定期修改密碼及符合複雜性原則。
電腦病毒防護
電腦病毒,勒索病毒,木馬程式。
加強端點防護,導入行為監控,應用程式控制防護系統。
依各端點類型強化系統及資料的安全。
網路管理安全
網路穩定,蓄意攻擊,流量隔離。
定期更新韌體,導入入侵防護(IPS)系統。
發現網路異常封包或行為時,系統發送警訊通報,並立即採取必要的處置措施。
資訊安全
資訊系統未經授權之存取。
因應職務需求,建立申請授權流程。
電子化表單提出申請,經主管及權責單位同意後開放。
上網行為的安全
惡意軟體、網路釣魚、殭屍電腦的命令與控制伺服器等不當傳輸行為。
上網瀏覽權限驗證。
有權限身分驗證,警示不當行為。
資訊系統服務運作
駭客可能試圖將電腦病毒、破壞性軟體或勒索軟體侵入公司網路系統,以干擾公司的營運。
訂定核心業務之復原時間目標(RTO)及資料復原時間點目標(RPO)。
設置適當之備份機制及備援計畫,並定期測試復原資料之正確性。
(5)重大資安事件
本公司目前無重大資安事件導致營業損害之情事。