| 資通安全風險管理 |
█ |
資通安全風險管理架構 |
| 華義資通安全管理是由資通安全推動小組負責,並於112年5月9日董事會通過制定資通安全管理政策,設有資通安全主管負責督導和資通安全推動小組成員負責執行及處理,管理小組每年進行一次召開會議管理審查,報告上呈至董事會說明。 |
█ |
資通安全政策目標 |
| 制訂政策及目標為使公司業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性完整性及可用性。同仁每年皆完成3小時資通安全教育訓練,資訊安全推動小組成員皆完成12小時資通安全教育訓練,遇到緊急資訊安全漏洞馬上公告,向公司內所有人員進行宣導,量化每年度非預期網路服務中斷件數並檢視執行成效,以達到服務級別協定之數據。 |
█ |
具體管理方案 |
| 公司依資通安全責任等級分級辦法之規定,屬資通安全責任等級C級,設置資通安全專責人員3人,執行資通系統資產盤點,相關業務單位配合風險評估,再由評估表綜合考量出風險分級,衡量風險程度及風險處理急迫性及可用性等因素,以決定可接受之風險等級,擬定處理計畫、執行、檢視處理計畫執行成效,檢討執行情形以確保政策及措施之有效性及適宜性。 於對外閘道端建立防火牆並搭配入侵偵測系統及防毒系統,對於資訊資安能在第一時間即做好預防及告警處理,至於進階持續針對性攻擊,除了偵測外並加以阻擋,以及定期檢視調整資訊政策。所有外部VPN 連線也須經由動態密碼或二次認證的方式來強化連線的安全性。 本年度亦安排進行主機弱點掃描,以評估內部環境是否會造成資安漏洞。 內部亦將電腦環境定期更新升級至新版本並安裝防毒軟體,除系統更新外亦控管電腦存取使用權限,定期檢視系統存取特殊權限之核發情形,防止未經正式授權程序取得特殊權限,並依照風險程度之檔案主機建置資料備份還原系統。 為提高員工資安意識與降低資安風險,公司每年安排教育訓練,對同仁進行資安及個人資料保護之宣導,皆能遵循資訊安全政策、管理辦法及標準程序。 |
█ |
投入資通安全管理之資源 |
| 依照公司專案預算編列達成率90%,每年執行簽訂資通安全防護及管理的維護合約,更新及修正作業系統和應用軟體漏洞,端點防護則由防毒軟體結合異常連線來達成預防以及保護。 目前設置資安主管1人及資安人員3人。於今年申請加入TWCERT聯防組織及編列資通安全維護計畫書。 112年共計開4次資安會議,訂定流程並檢討落實資通安全風險控管處理。 本年度安排資安人員4人進行資通安全課程外部教育訓練16小時,合計64小時;內部新進同仁10人完成資通安全教育訓練以及個資保護法教育訓練1小時,合計10小時。本年度參與教育訓練人數14人,總計教育訓練時數74小時。 |
|