Investor Relations

IT Security Risk Management

資通安全風(fēng)險(xiǎn)管理架構(gòu)

· 本公司資通安全之權(quán)責(zé)單位為資訊處，負(fù)責(zé)規(guī)劃、執(zhí)行及推動(dòng)資通安全

管理事項(xiàng)，並推展資通安全意識(shí)。

· 本公司稽核處為資通安全監(jiān)理之查核單位，若查核發(fā)現(xiàn)缺失，旋即要求

受查單位提出相關(guān)改善計(jì)畫(huà)並呈報(bào)董事會(huì)，且定期追蹤改善成效，以降

低內(nèi)部資安風(fēng)險(xiǎn)。

· 組織運(yùn)作模式-採(cǎi) PDCA（Plan-Do-Check-Act）循環(huán)式管理，確保可靠度

目標(biāo)之達(dá)成且持續(xù)改善。

一、資通安全政策

1. 維持各資通系統(tǒng)永續(xù)運(yùn)作

2. 防止駭客、各種病毒入侵及破壞

3. 防止人為意圖不當(dāng)及不法使用

4. 防止機(jī)敏資料外洩

5. 避免人為疏失意外

6. 維護(hù)實(shí)體環(huán)境安全

二、資通安全具體管理方案

管理方案項(xiàng)目	管理方案內(nèi)容
電腦設(shè)備安全管理	本公司電腦主機(jī)、各應(yīng)用伺服器等設(shè)備均設(shè)置於專(zhuān)用機(jī)房，機(jī)房保留進(jìn)出紀(jì)錄存查。機(jī)房?jī)?nèi)部備有獨(dú)立空調(diào)，維持電腦設(shè)備於適當(dāng)?shù)臏囟拳h(huán)境下運(yùn)轉(zhuǎn)；並放置藥劑式滅火器，可適用於一般或電器所引起的火災(zāi)。機(jī)房主機(jī)配置不斷電與穩(wěn)壓設(shè)備，避免臺(tái)電意外瞬間斷電造成系統(tǒng)當(dāng)機(jī)，或確保臨時(shí)停電時(shí)不會(huì)中斷電腦應(yīng)用系統(tǒng)的運(yùn)作。
網(wǎng)路安全管理	與外界網(wǎng)路連線的入口，配置企業(yè)級(jí)防火牆，阻擋駭客非法入侵。同仁由遠(yuǎn)端登入公司內(nèi)網(wǎng)存取ERP系統(tǒng)，必須申請(qǐng)VPN帳號(hào)，透過(guò)VPN的安全方式始能登入使用，且均留有使用紀(jì)錄可稽查。配置上網(wǎng)行為管理與過(guò)濾設(shè)備，控管網(wǎng)際網(wǎng)路的存取，可屏蔽訪問(wèn)有害或政策不允許的網(wǎng)路位址與內(nèi)容，強(qiáng)化網(wǎng)路安全並防止頻寬資源被不當(dāng)占用。
病毒防護(hù)與管理	伺服器與同仁終端電腦設(shè)備內(nèi)均安裝有端點(diǎn)防護(hù)軟體，病毒碼採(cǎi)自動(dòng)更新方式，確保能阻擋最新型的病毒，同時(shí)可偵測(cè)、防止具有潛在威脅性的系統(tǒng)執(zhí)行檔之安裝行為。電子郵件伺服器配置有郵件防毒、與垃圾郵件過(guò)濾機(jī)制，防堵病毒或垃圾郵件進(jìn)入使用者端的PC。
系統(tǒng)存取控制	同仁對(duì)各應(yīng)用系統(tǒng)的使用，透過(guò)公司內(nèi)部規(guī)定的系統(tǒng)權(quán)限申請(qǐng)程序，經(jīng)權(quán)責(zé)主管核準(zhǔn)後，由資訊室建立系統(tǒng)帳號(hào)，並經(jīng)各系統(tǒng)管理員依所申請(qǐng)的功能權(quán)限做授權(quán)方得存取。帳號(hào)的密碼設(shè)置，規(guī)定適當(dāng)?shù)膹?qiáng)度、字?jǐn)?shù)，並且必須文數(shù)字、特殊符號(hào)混雜，才能通過(guò)。同仁辦理離(休)職手續(xù)時(shí)，資訊室依人資離職通知，進(jìn)行各系統(tǒng)帳號(hào)的刪除作業(yè)。
確保系統(tǒng)的永續(xù)運(yùn)作	系統(tǒng)備份：建置分地備份系統(tǒng)，採(cǎi)取日備份機(jī)制，異地電腦機(jī)房各存一份備份資料，且異地建置備援系統(tǒng)，以確保系統(tǒng)與資料的安全。災(zāi)害復(fù)原演練：各系統(tǒng)每年實(shí)施一次演練，選定還原日期基準(zhǔn)點(diǎn)後，由備份媒體回存於系統(tǒng)主機(jī)，再由使用單位書(shū)面確認(rèn)回復(fù)資料的正確性，確保備份媒體的正確性與有效性。租用電信公司兩條數(shù)據(jù)線路，透過(guò)頻寬管理設(shè)備，兩線路並聯(lián)互為備援使用，確保網(wǎng)路通訊不中斷。
資安宣導(dǎo)與教育訓(xùn)練	提醒宣導(dǎo)：要求同仁定期更換系統(tǒng)密碼，以維帳號(hào)安全。資安宣導(dǎo)：提供資通安全實(shí)例文件給同仁參考。

三、資通安全的資源投入

資通安全由本公司資訊處負(fù)責(zé)，共設(shè)置4人，針對(duì)資通安全管理每季會(huì)議檢討。針對(duì)系統(tǒng)主機(jī)的作業(yè)系統(tǒng)或重要軟體升級(jí)、災(zāi)害復(fù)原演練等重要的資安工作，資訊處每季檢討規(guī)劃執(zhí)行，並透過(guò)不定期的資安健檢，判斷資訊設(shè)備資源投入與系統(tǒng)配置是否存在漏洞，編列資安預(yù)算後執(zhí)行；並與司法機(jī)關(guān)簽訂資通安全防護(hù)協(xié)定，建立資通安全聯(lián)防機(jī)制。

四、緊急通報(bào)程序

當(dāng)發(fā)生資訊安全事件時(shí)，發(fā)生單位通報(bào)資訊處，判斷事件類(lèi)型並找出問(wèn)題點(diǎn)，即時(shí)處理並留下紀(jì)錄。

Investor Relations

Corporate Governance

IT Security Risk Management