中文 | English
 
     
   
 
 
  資通安全管理  
     
 

資通安全風險管理組織
 

本公司指定資訊部最高主管為資安主管,並設立「資通安全委員會」及「資通安全執行小組」以強化本公司之資通安全。「資通安全委員會」係由資安主管擔任召集人,公司內各單位包含稽核室、資訊部、管理部、法務暨市場部各委派1人為委員,另成立「資通安全執行小組」由召集人指派資訊部人員擔任組員,負責規劃及執行各項資通安全作業,包含資通安全預防及事件處理。

「資通安全委員會」核定「資通安全執行小組」所擬訂之資通安全政策,並定期召開管理審查會議,或於組織有重大變更時(如組織調整、業務重大異動等)重新評估政策之適用性。資通安全政策將依照評估結果、相關法令、技術及業務等最新發展現況予以適當修訂,以確保符合實際需求。「資通安全委員會」亦會每年定期向董事會報告資安風險管理情形,以加強董事對公司營運的督導與管理。



資通安全政策

 

全台晶像晶像股份有限公司

資通安全政策

一、政策目的:

本公司為了達到下列之營運與管理目標,訂定本政策。

  1. 公司之資訊化作業得以持續不間斷運作,維持內部制度管理之有效性,提升資訊服務品質。
  2. 確保處理與利用之所有資訊的機密性、完整性與正確性。
  3. 有關蒐集、處理與利用個人資訊之業務流程,符合個人資料保護法的要求。

二、適用範圍:

本公司全體人員、業務往來單位、委外服務廠商、訪客及使用本公司資訊服務之使用者等。

三、政策要求:

  1. 本公司應落實相關法令之遵循,包括智慧財產權保護法、個人資料保護法,以及與外部單位簽訂之協議、契約等。
  2. 由資訊部與管理部負責推動相關管理制度之計畫、執行與溝通協調,並積極辦理資訊安全與個人資料保護之教育訓練及宣導,以確保人員熟悉業務執行所負之安全責任。
  3. 本公司員工因執行業務而持有之資訊資產以公有公用為原則,依其需求進行分類分級與風險評估,以達到有效控管;資訊化作業依業務執行之實際需求,規劃營運持續管理,以確保資訊化作業之可用性。
  4. 實體辦公環境及重要資訊設備機房均進行出入管制,以維持環境之安全。
  5. 為防範電腦病毒及惡意軟體影響作業,除經合法授權之系統及應用軟體外,禁止使用其他非授權軟體。
  6. 為確保管理制度之有效性,凡違反管理制度相關程序規範者,依相關規定審議懲處。

四、責任:

  1. 本公司成立管理組織統籌相關管理制度之推動。
  2. 管理階層應積極參與及支持管理制度,並透過適當的標準和程序以實施本政策。
  3. 本公司全體人員、委外服務廠商與訪客等皆應遵守本政策。
  4. 本公司全體人員及委外服務廠商均有責任透過適當通報機制,通報資訊安全事件或弱點。
  5. 任何危及資訊安全與個人資訊保護之行為,將視情節輕重追究其民事、刑事及行政責任。

五、實施與修正:

本政策經資訊安全委員會審查通過,由總經理核定後實施,修正時亦同。


安全的具體管理方案

本公司考量資安險仍是新興險種,涉及資安等級檢測機構、理賠鑑識機構及不理賠條件等相關配套,因此經資通安全委員會評估後,暫不購買資安險。本公司目前針對資安風險管理之主要措施與執行情形如下,已能有效防護資通安全,並提報112年11月2日董事會:

項目

具體管理方案

防火牆防護

  • 防火牆設定連線規則,預設只開放基本上網、郵件連線。
  • 如有特殊連線需求需經高階主管核准始能開放。
  • 每月監控分析防火牆被攻擊數。

使用者上網控管機制

  • 使用自動網站防護系統監控使用者上網行為。
  • 自動過濾使用者上網可能連結到有木馬病毒、勒索病毒或惡意程式的網站。
  • 未經核准禁止使用即時通訊軟體、Web Mail、網路硬碟、檔案傳輸等網路服務。

無線網路控管機制

  • 無線網路僅開放公務筆電和手機、平板等移動裝置使用,且需經高階主管核准後始得開放。
  • 無線網路需鎖定裝置MAC碼,確保只有經核准的裝置能夠使用。
  • 依使用者裝置與需求,設定不同連線SSID控管連線主機的權限。

資訊機房安全管控

  • 機房進出有門禁系統,進出需刷員工識別證,非經允許不得進入。
  • 機房有UPS不斷電系統,不正常停電時可自動將伺服器關機,保護伺服器系統不因停電而故障。

防毒軟體

  • 使用多種防毒軟體,分散新病毒中毒機會。
  • 定時更新防毒軟體病毒碼,降低中毒風險。

USB磁碟存取管制

  • 使用者電腦預設禁止使用USB裝置,因公務需求需使用USB裝置,需經部門主管最高主管、總經理核准後始得開放。
  • USB裝置需經資訊部認證設定後才能使用,未經認證的USB裝置,即使在開放USB電腦也是無法使用。

作業系統更新

  • 作業系統重大與安全性更新,由自動更新系統統一控管,自動派送安裝到公司電腦。
  • 資訊部監控因故未更新者,由資訊部協助更新。

郵件安全管控

  • 有自動郵件掃描威脅防護,在使用者接收郵件之前,事先防範不安全的附件檔案、釣魚郵件、垃圾郵件,及擴大防止惡意連結的保護範圍。
  • 個人電腦接收郵件後,防毒軟體也會掃描是否包含不安全的附件檔案。

使用者郵件安全管控

  • 可統計使用者外部郵件收發件數與明細,監控異常收發狀況,避免機密資料外洩。

網站防護機制

  • 網站有防火牆裝置阻擋外部網路攻擊。
  • 網站有防竄寫機制,自動將被竄改內容更正。

高可用性備援機制

  • 各項重要資訊系統,皆有建立高可用性機制。可在系統故障時於最短時間內恢復系統運作。

資訊系統與資料庫備份機制

  • 重要資訊系統資料庫皆設定每日完整備份、每小時差異備份。
  • 資訊系統程式每日完整備份一次。

異地存放

  • 伺服器與各項資訊系統備份檔,分開存放於不同廠房的資訊機房保存。

重要檔案上傳伺服器

  • 公司內各部門重要檔案上傳伺服器存放,由資訊部統一備份保存。

資訊中心檢查紀錄表

  • 資訊中心檢查紀錄表紀錄機房溫溼度、資料備份、防毒軟體更新、網路流量等紀錄。

員工資訊安全意識宣導

  • 新進員工皆須簽署「員工資訊作業切結書」,了解各項公司內外資訊之收發及存取規範。
  • 不定期發佈公告,宣導員工不隨意開啟可疑郵件或附檔,以及防洩密宣導簡報。

 

投入資通安全管理之資源

 

  • 資訊部共設置3人負責資通安全管理。
  • 由專業資安廠商協助防火牆連線規則備份與管理諮詢、防毒與備份系統授權與管理諮詢,並提供進階整合型端點防護……等服務,每月費用支出共48仟元,每年合計582仟元;另購置防毒軟體授權支出304仟元、備份軟體授權支出93仟元,及購置備份伺服器等相關硬體設備支出140仟元。
  • 112年對全體員工實施相關「資訊安全教育訓練」達2小時,總共903人次,訓練時數1,806小時,完訓率達100%。

 

 
     
首頁  |  產品資訊  |  聯絡我們  |  技術專區 
Copyright 2014 | Emerging Display Technologies | All Rights Reserved