資訊安全

資訊安全風險管理

一、資訊安全管理政策

  • (一)、資訊安全政策應確保公司永續運作及資訊管理作業之可行性與有效性。
  • (二)、建立本公司資通安全組織並訂定分工權責,已利推行資通安全作業。
  • (三)、明確規範資訊系統及網路服務貸使用權限,防止未經授權之存取行為。
  • (四)、建立資通安全事件通報應變機制,以確保資安事件妥善回應、控制及處理。
  • (五)、定期執行資通安全稽核作業,以確保資通安全管理落實執行。
  • (六)、定期查核保護公司與客戶資訊的機密性、完整性與可用性

 

二、資訊安全管理組織

資訊安全管理審查會議至少每年召開一次,針對現行資訊安全政策與目標進行討論,針對審查結果應留下相關文件與紀錄備查。若政策遇重大改變時應立即審查,以確保適當性及有效性,並告知相關單位以利共同遵守。

 

1. 資訊安全管理 : 資訊安全政策之核淮、決策、授權

2. 資安技術 : 訂定資訊安全管理政策、收集資料、推動資訊安全管理政策

3. 政策與稽核 : 督導資訊安全執行狀況,若查核發現缺失,要求矯正措失並持續追蹤降低風險

4. 教育訓練 : 進行全員資安教育訓練與不定期社交工程釣魚測試,以提升資安意識。

 

三、資訊安全具體落實措施

  • (一)、電腦資料作權限管控,防止非相關人員存取系統資訊,以保持資訊安全。
  • (二)、使用者之帳號及密碼應避免使用容易被識破及猜測的密碼,且規定每90天更改一次密碼。
  • (三)、對於公司資訊系統檔案、設備、程式作適當安全管控及保護,使公司資料安全更有保障。
  • (四)、對進出電腦機房等敏感地區之人員應有足夠的管制措施,以防止電腦被有意或無意的破
             壞;機房或機櫃應上鎖保護。
  • (五)、非經資訊部門同意,員工不得私自安裝移除電腦硬體(如:記憶體、硬碟),亦不得擅自將
             公司硬體帶離公司使用。
  • (六)、以監控程式紀錄使用者使用USB儲存裝置的檔案。
  • (七)、以監控程式紀錄使用者燒錄檔案名稱、大小。
  • (八)、資訊部門以監控程式記錄每一電腦的硬體紀錄,一但發生異動即通知MIS部門相關人員,
             並核對該使用者的相關申請,防止不當移出移入設備。
  • (九)、定期刪除B2C金流服務之消費者個資,已確保消費者的個資不外洩。
  • (十)、公司全面使用正版之作業軟體,並定期更新。
  • (十一)、定期更新防毒程式,已確保公司不受駭客入侵,確保公司資產
  • (十二)、不定期社交工程釣魚測試,公司網域已確保不受外部侵害。