資訊安全風險管理

一、資通安全風險管理架構

(一)本公司「資安管理室」，負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實。

(二)本公司稽核室為資通安全監理之查核單位，若查核發現缺失，旋即要求受查單位提出相關改善計畫並呈報董事會，且定期追蹤改善成效，以降低內部資安風險。

(三)組織運作模式-採PDCA（Plan-Do-Check-Act）循環式管理，確保可靠度、目標之達成且持續改善。

二、資通安全政策

維持各資通系統永續運作
防止駭客、各種病毒入侵及破壞
防止人為意圖不當及不法使用
防止機敏資料外洩
避免人為疏失意外
維護實體環境安全

三、資通安全的資源投入

「資安管理室」配置資安專責主管及一名專責人員，由本公司資訊部同仁兼任，針對資通安全管理每季會議檢討。針對系統主機的作業系統或重要軟體升級、災害復原演練等重要的資安工作，資訊部每季檢討規劃執行，並透過不定期的資安健檢，判斷資訊設備資源投入與系統配置是否存在漏洞，編列資安預算後執行；並與司法機關簽訂資通安全防護協定，建立資通安全聯防機制。

四、緊急通報程序

當發生資訊安全事件時，發生單位通報資訊處，判斷事件類型並找出問題點，即時處理並留下紀錄。

五、資通安全具體管理方案

管理.方案項目	管理方案內容
電腦設備安全管理	本公司電腦主機、各應用伺服器等設備均設置於專用機房，機房保留進出紀錄存查。機房內部備有獨立空調，維持電腦設備於適當的溫度環境下運轉；並放置藥劑式滅火器，可適用於一般或電器所引起的火災。機房主機配置不斷電與穩壓設備，避免台電意外瞬間斷電造成系統當機，或確保臨時停電時不會中斷電腦應用系統的運作。
網路安全管理	與外界網路連線的入口，配置企業級防火牆，阻擋駭客非法入侵。同仁由遠端登入公司內網存取ERP系統，必須申請VPN帳號，透過VPN的安全方式始能登入使用，且均留有使用紀錄可稽查。配置上網行為管理與過濾設備，控管網際網路的存取，可屏蔽訪問有害或政策不允許的網路位址與內容，強化網路安全並防止頻寬資源被不當占用。
病毒防護與管理	伺服器與同仁終端電腦設備內均安裝有端點防護軟體，病毒碼採自動更新方式，確保能阻擋最新型的病毒，同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為。電子郵件伺服器配置有郵件防毒、與垃圾郵件過濾機制，防堵病毒或垃圾郵件進入使用者端的PC。
系統存取控制	同仁對各應用系統的使用，透過公司內部規定的系統權限申請程序，經權責主管核准後，由資訊室建立系統帳號，並經各系統管理員依所申請的功能權限做授權方得存取。帳號的密碼設置，規定適當的強度、字數，並且必須文數字、特殊符號混雜，才能通過。同仁辦理離(休)職手續時，資訊室依人資離職通知，進行各系統帳號的刪除作業。
確保系統的永續運作	系統備份：建置分地備份系統，採取日備份機制，異地電腦機房各存一份備份資料，且異地建置備援系統，以確保系統與資料的安全。災害復原演練：各系統每年實施一次演練，選定還原日期基準點後，由備份媒體回存於系統主機，再由使用單位書面確認回復資料的正確性，確保備份媒體的正確性與有效性。租用電信公司兩條數據線路，透過頻寬管理設備，兩線路並聯互為備援使用，確保網路通訊不中斷。
資安宣導與教育訓練	提醒宣導：要求同仁定期更換系統密碼，以維帳號安全。資安宣導：提供資通安全實例文件給同仁參考。