公司治理
資安風險管理架構
為配合公司治理之資訊安全管理,成立跨部門資訊安全小組,由總經理擔任總召集人,並由資訊室主管擔任專責主管,團隊包含資訊安全處理小組,與另設有資訊安全稽核小組,並定期檢討資訊安全政策,每年最少一次向董事會報告。資訊安全處理小組:執行機房設備、資訊系統存取控制、資訊安全宣導、資訊安全事件通報、網路安全、電子郵件安全及防毒等管理作業。
資訊安全稽核小組:查核評估資訊作業控制之有效性。
資訊安全政策落實
一、資訊安全之目標建立安全及可信賴之資訊作業環境,確保資料、系統、設備與網路安全、個資隱私等,保障公司與相關內、外人員之權益。
二、資訊安全之範圍
1. 人員安全管理及資訊安全教育訓練 2. 資訊資產安全管理 3. 系統開發及維護安全管理 4. 系統存取及控制安全管理 5. 實體安全管理 6. 資訊設備及媒體安全管理 7. 網路通信安全管理 8. 資訊安全稽核三、資訊安全的原則及標準
1. 辦理資安教育訓練課程,包含資訊安全作業程序,資訊安全法令規範及資訊安全管理作業,以充實資訊安全知識,遵守資訊安全規定。
2. 資訊設備應確實按規定安裝防毒軟體,並更新病毒碼,以防止病毒攻擊及擴散。
3. 內部人員及外部人員應於任何資訊安全事件發生時,通知相關負責人員。資訊系統使用者,發現可能對資訊系統造成傷害的威脅時,應即時通報反應。
四、員工應遵守之相關規定
1. 使用者帳號應符合密碼設置原則,妥善保管帳號及維持密碼之機密性,並應定期變更密碼。
2. 資訊設備僅限於公務使用,禁止使用於私人用途。
3. 禁止自行安裝使用非法與未經核准之軟體、非業務需用之套裝軟體或應用軟體。
4. 使用者職務異動或離職時,單位主管應通知資訊單位調整或終止使用者之存取權限。
資訊安全管理方案
項目 | 方案 |
防毒安全 | 防毒軟體應定期更新病毒碼,定期執行掃描檢查作業。 |
瀏覽網頁 | 對外開放的資訊系統所提供之網路服務,如:HTTP、FTP 等,應採取適當之存取控管機制。 應注意Cookie、ActiveX、Java Script 及Active Scripting 等行動碼執行之風險。 |
電子郵件 | 關閉預覽及自動下載功能,以避免惡意程式之攻擊。 除非清楚附件的來源及寄送原因,否則不要隨意開啟附件檔案。 |
防火牆安全 | 應配合資訊安全政策、相關法令、法規之修訂,以及網路設備之變動即時調整防火牆之設定。 |
電腦管理 | 異常狀況時使用者應先行回報權責主管,視需要採適當方式處理。 |
資料備份 | 訊系統之設定檔、網頁資料、伺服器檔案及資料庫資料均應訂定備份週期,並依據週期執行備份。 |
資訊安全事件通報作業
內部人員及外部人員應於任何資訊安全事件發生時,或發現可能對資訊系統造成傷害的威脅時,應即時通報權責主管,並記錄處理過程及結果。
本年度資訊安全小組於112年11月10日董事會,針對112 年資訊安全執行情況說明如下:
1. 電腦均安裝防毒軟體,並更新至最新病毒碼。2. 防火牆經弱點掃描,無重大威脅弱點。本年度持續投入設備,計採購防火牆及防毒軟體共2,069,401元。
3. 資訊系統均訂定備份週期,並執行備份成功。
4. 年度資訊系統復原應變計劃執行完成。
5. 年度資訊教育宣導執行完成。
目前資訊安全部門配置二人,本年度發佈一次教育訓練通告,內部定期開會討論最新資訊,本年度開會兩次。
依據資訊安全事件通報作業,內部人員及外部人員應於任何資訊安全事件發生時,或發現可能對資訊系統造成傷害的威脅時,應即時通報權責主管,並記錄處理過程及結果,截至112 年10 月,未有重大資訊安全通報事件發生。
為取得資安預警情資、資安威脅與弱點資訊,已訂閱臺灣電腦網路危機處理暨協調中心(TWCERT/CC)電子報,以因應未來可能的資安風險,並依資安風險議題,視情況增加年度資訊教育宣導次數。
如有任何問題,歡迎您與我們聯絡
公共關係信箱
E-mail:contact@email.pgum.com.tw
電話: 02-3766-6689
地址:11494 台北市內湖區行愛路100號6F
公共關係信箱
E-mail:contact@email.pgum.com.tw
電話: 02-3766-6689
地址:11494 台北市內湖區行愛路100號6F