資訊安全管理

資訊安全風險管理架構

由資訊部負責統籌資訊安全及相關事宜，擬定相關內部控制程序管理，並定期進行內部資訊安全檢查。

資訊安全政策

(一) 目的：為建置本公司安全及可信賴的資訊運作環境，維持業務持續運作，降低資訊作業風險，保障資訊服務使用者之權益，建立資訊安全管理系統，規範本程序為最高指導方針，以達成資訊安全管理的目標。

(二) 範圍：本公司資訊安全管理範圍，包括本公司所屬各據點資訊作業之相關人員、管理制度、應用程式、資料、文件、媒體儲存、硬體設備及網路設施。

(三) 目標：避免資訊系統遭受來自內、外部人員不當使用或蓄意破壞，或當已遭受不當使用、蓄意破壞等緊急事故時，公司能迅速應變處置，並在最短時間內回復正常運作，降低該事故可能帶來之經濟損害及營運中斷。

(四) 程序：執行資訊機房、網路安全、系統開發及程式修改、資料安全、資訊保密、智慧財產權、資訊委外等管理

具體管理方法

本公司近年來積極強化公司整體之資訊架構，具體進行多項資訊安全強化專案，範圍包含：

1.強化內外網路安全

 (1)使用一線品牌之次世代防火牆進行網段隔離及保護

 (2)使用外部資安監控系統隨時觀測是否有漏洞產生

 (3)導入IP/MAC管理系統，加強外來網路設備之監控機制

2.加強端點安全

 (1)Windows定期更新

 (2)導入端點管控系統管理

 (3)佈署知名防毒軟體防護

3.資料外洩保護

  (1)建立電子文件加密機制

  (2)USB儲存設備管控

  (3)使用者權限分級

4.郵件安全

  (1)垃圾、病毒或釣魚郵件阻擋

  (2)建立郵件備存機制

5.增強IT基礎架構

  (1)建立資料異地備份機制

  (2)伺服器及網路叢集架構建立

除上述資訊安全強化專案外，本公司落實執行各項既定之資訊政策，包括每年不定期參與各項資訊安全的研討會，瞭解最新資訊安全問題、趨勢及相關強化措施外，並透過定期內部宣導、規劃社交工程演練等預防措施，藉此提升全體員工之資安意識。