| 資通安全風險管理 |
| 本公司持續維護資通安全及保護公司重要機密資訊,以保障資訊資產之機密性、完整性及可用性,確保公司營運永續運作。 |
| |
| 1.資通安全風險管理架構 |
| 為保障公司及客戶之機密資訊安全,本公司設置IT部門,負責資訊安全管理及監督,同時制定「資訊安全事件通報與應變機制處理程序」由IT部門統籌規劃建立資訊安全管理制度。 |
| |
| 2.資通安全政策 |
| 為強化公司資訊安全管理,加強督促改善公司內部之資訊安全防護,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭受內外部竊取、不當使用、洩漏、竄改或破壞等風險,確保資訊安全,建立妥善的電腦使用環境,以充分支援各項工作,將擬定相關管理程序及應變機制之相關辦法,以維護公司資訊安全。 |
| |
| 3.具體管理方案 |
| 為健全本公司資通安全環境,建立主動式資料安全控管與異常通報資安管制,並以機房設備、網路管理管理、防毒防護及資訊權限等四大面向發展,以妥善維護客戶資料及資訊安全。相關具體管理方案,說明如下: |
| 方案 |
內容 |
| 機房設備 |
- 電腦主機、各應用伺服器等設備均設置於專用機房,機房門禁採用感應刷卡進出,且保留進出紀錄存查。
- 機房內部備有獨立空調,維持電腦設備於適當的溫度環境下運轉。
- 機房主機配置不斷電UPS設備,確保臨時停電時不會中斷機房運作。
|
| 網路管理 |
- 與外部網路連線,建置防火牆,過濾阻擋異常封包。
- 建置上網行為管理與過濾系統,控管網際免費網路的存取,阻擋有害網站或政策不允許的網路與內容,強化網路安全並防止頻寬資源被不當占用。
- 建置郵件安全過濾系統,檢測外來郵件安全性。
|
| 病毒防護 |
- 伺服器與個人電腦設備均安裝防毒軟體,病毒碼為自動更新方式,確保能阻擋最新型的病毒,同時可偵測、防止具有潛在威脅性的系統執行檔之開啟行為。
|
| 資訊權限 |
- 同仁對各應用系統的使用,透過公司資訊系統權限申請單,經權責主管核准後,由資訊系統管理員建立系統帳號,並經各應用程式系統管理員依所申請的應用系統功能權限做授權存取。
- 帳號的密碼設置,規定適當的強度,並且必須文數字、特殊符號混雜,每90天更換一次密碼。
- 同仁辦理離(停)職手續時,由離職同仁提出資訊系統權限申請單進行各系統帳號的刪除作業。
|
|
| |
|
| 4.投入資通安全管理之資源 |
| A:投入費用 |
|
| 說明:本公司平均每年投入資訊安全相關設備及維護軟體之金額約美金7萬元左右,其餘部分主要為人事相關成本及教育訓練費用;另外,2022年為提升服務效能,增添相關防護軟體及培訓費,使其投入金額微幅增加。 |
| |
| B:本公司目前設置五人從事相關管理,並不定期發送資安郵件對員工進行資訊安全教育及訓練,促使員工瞭解資訊安全的重要性,各種可能的安全風險,以提升全員資安維護的意識及責任,遵守資訊安全規定。 |
| |
| 當年度之進修情形如下: |
| 課程名稱 |
進修時間 |
方式 |
| 資通安全宣導 |
隨時 |
1.教育訓練、公司內部網站、E-mail宣導
2.臺灣證券交易所-資通安全專區
(含相關規範及參考文件及教育訓練及宣導資料)
3.證券櫃檯買賣中心-資通安全專區
(含上市櫃公司資安宣導影片及簡報) |
| 數據庫相關課程 |
2022-7-28
至
2022-7-31 |
本課程由外部專業人士授課,並邀請本公司員工參與之實體課程。 |
|
| |
|
