社會責任

YOUNG QIN
資安風險管理

一、組織(暫定)

資訊安全組織圖

 

二、資安風險管理機制

訂定內部資訊安全政策、規劃資訊安全作業與資安政策推動與落實。並建立內控制度每年稽核室會定期查核,若查核發現缺失,旋即要求受查單位提出改善措施, 且定期追蹤改善結果,以降低內部資安風險。

 

三、資訊安全政策

(1)制度規範:訂定公司資訊安全管理制度,規範人員作業行為。
(2)科技運用:建置資訊安全管理設備,落實資安管理措施。
(3)教育訓練:進行資訊安全教育訓練,提昇內部同仁資安意識。

 

四、資訊安全具體管理方案

項目 管理內容
資訊處理部門之功能及職責劃分
  1. 資訊人員皆填具保密切結書,離職時取消其辨識碼並繳回員工識別證及相關證件。
應用系統維護管理
  1. 委外作業須簽訂契約以保障雙方之權利義務,內容包含符合公司資訊安全政策規範及法律要求。
  2. 委外人員電腦通行之使用權利經權責主管核准,委外期間結束後立即收回該項權利。
電腦系統管理
  1. 密碼以亂碼方式儲存。
  2. 使用者第一次使用系統時,需更新初始密碼後方可繼續作業。
  3. 對於程式及檔案之存取使用依照權限區分。
  4. 人員異動時即時更新其使用權限。
電腦作業管理
  1. 電腦機房保持上鎖,鑰匙由資訊人員保管,同仁不得任意進出機房。
  2. 機房設置防火設施並定期檢驗。
  3. 電腦設備設置獨立之電源供應系統,包含不斷電設備及發電機等設備。
  4. 重要軟體、文件及清冊抄錄備份,存於另一安全處所。
  5. 存放備份資料之儲存媒體於其標籤上註明存放資料之名稱及保存期限。
備份及回復作業
  1. 系統之復原程序明確訂定,並製成文件,以為遵循之依據。
  2. 系統復原程序定期性測試演練,測試演練後召開檢討會議,針對缺失謀求改進。
網路安全管理
  1. 定期評估自身網路系統安全(例如:作業系統、網站伺服器、瀏覽器、防火牆及防毒軟體版本),並留存相關紀錄。
  2. 定期或適時修補網路運作環境之安全漏洞,並留存相關文件。
  3. 有關電腦網路安全(例如:資訊安全政策宣導、防範網路駭客入侵事件及電腦防毒等)事項隨時公告。
  4. 各項網路服務使用依據資訊安全政策設定,並關閉不必要之網路服務。若需增減需經申請後權責主管同意才可執行。
  5. 員工遠端登入管理資訊系統需經申請後權責主管同意才可開放。
  6. 電腦主機及重要軟硬體設備設置專人負責。
  7. 定期檢核各項資安項目之system log,追蹤處理異常項目並留下紀錄。
防火牆之安全管理
  1. 建立防火牆並設置專人管理。
  2. 防火牆進出紀錄及備份至少保存兩個月。
  3. 防火牆之日誌檔定期檢核,並經權責主管核閱。
  4. 重要網站及伺服器系統以防火牆及外部網際網路隔離。
  5. 防火牆系統之政策調整需經權責主管核准。
  6. 電腦病毒及惡意軟體之防範:
  7. 安裝防毒軟體並即時更新程式及病毒碼。
  8. 定期對電腦系統及資料儲存媒體進行病毒掃描(含電子郵件)。
  9. 防毒系統涵蓋個人端及伺服器端電腦
資安教育訓練
  1. 每年定期實施內部人員資訊安全教育訓練,藉以提昇內部人員資安知識與技能。
 

 

五、資安事件通報程序

當發生資訊安全事件時,發生單位通報資通安全處理小組,判斷事件類型並找出問題點,即時處理並留下紀錄。