誠研科技資訊安全風險管理架構

一、資訊安全管理政策
(一)資訊安全政策應確保公司永續運作及資訊管理作業之可行性與有效性。
(二)建立本公司資通安全組織並訂定分工權責,俾利推行資通安全作業。
(三)明確規範資訊系統及網路服務貸使用權限,防止未經授權之存取行為。
(四)建立資通安全事件通報應變機制,以確保資安事件妥善回應、控制及處理。
(五)定期執行資通安全稽核作業,以確保資通安全管理落實執行。

 

二、資訊安全管理組織
資訊安全管理審查會議至少每年召開一次,針對現行資訊安全政策與目標進行討論,針對審查結果應留下相關文件與紀錄備查。若政策遇重大改變時應立即審查,以確保適當性及有效性,並告知相關單位以利共同遵守。

 

三、資訊安全具體落實措施
(一)電腦資料作權限管控,防止非相關人員存取系統資訊,以保持資訊安全。
(二)使用者之帳號及密碼,應避免使用容易被識破及猜測的密碼,且規定每90天更改一次密碼。
(三)對於公司資訊系統檔案、設備、程式作適當安全管控及保護,使公司資料安全更有保障。
(四)對進出電腦機房等敏感地區之人員應有足夠的管制措施,以防止電腦被有意或無意的破壞;機房或機櫃應上鎖保護。
(五)非經資訊部門同意,員工不得私自安裝移除電腦硬體(如:記憶體、硬碟),亦不得擅自將公司硬體帶離公司使用。
(六)以監控程式紀錄使用者使用USB儲存裝置的檔案。
(七)以監控程式紀錄使用者燒錄檔案名稱、大小。
(八)資訊部門以監控程式記錄每一電腦的硬體紀錄,一但發生異動即通知MIS部門相關人員,並核對該使用者的相關申請,防止不當移出移入設備。