资讯安全风险
为强化资讯安全管理、确保资讯的机密性、完整性与可用性、资讯设备(包括电脑硬体、软体、週边)与网路系统之可靠性以及同仁对资讯安全之认知,并确保上述资源免受任何因素之干扰、破坏、入侵、
或任何不利之行为与企图,本公司成立「资讯安全管理委员会」,以统一资讯安全管理等事项之协调、
规划、稽核及推动。
资讯安全管理委员会组织架构
资讯安全管理委员会 单位职责
| 单位 | 管理职责 |
|---|---|
| 资讯安全管理委员会 | 整合资源及统一资讯安全管理等事项之协调、规划、稽核与推动。 |
| 各事业部 | 配合政策执行。 |
| 法务单位 | 提供法律支援,对诉讼及非诉讼事务管理,确保利益不受侵害。 |
| 稽核单位 | 评估资讯安全管理制度之执行情形,检查法令规章是否确实遵循并提出改善建议。 |
| 财务单位 | 配合政策执行。 |
| 人事单位 | 资讯安全政策宣导及教育训练。 |
| 资讯单位 | 规划及执行各项资讯安全作业。 |
民国111年资讯安全管理执行情形
(一) 为强化资安联防体系,于今年加入「台湾电脑网路危机处理暨协调中心(TWCERT/CC)」联盟。(二) 提升同仁资安意识,透过发布资讯安全宣导期刊及执行邮件社交工程演练,提升警觉性。
(三) 企业外曝资安风险监控,采非侵入式的资讯收集技术,透过收集公开数据、网路诱捕机制与威胁情资整合,加上弱点搜寻引擎,将所有持续收集的安全风险指标分析,进而帮助企业监控网路风险。
(四) 电脑安全管理
- 取消使用者具有系统平台管理员权限,减少电脑中毒机率、蓄意或无意修改系统设定及因任意安装非法软体、个人软体所衍生的法律责任与公司营运损失。
- 每月进行电脑抽查,稽查项目包含防拆封条检查、确认已安装USB 装置控管程式、确认已安装文件加密软体、所安装之软体均为公司授权、确认已加入公司网域、确认未私自更换或加装零组件等。
(六) 增购邮件过滤系统进阶防御模组,可进阶防御鱼叉式攻击、汇款诈骗、APT攻击邮件、勒索病毒以及新型态攻击等邮件。
(七) 导入资讯系统管理员帐号双因素登入认证机制,加强重要系统特权帐号使用之保护。