资讯安全管理之资讯揭露

一、资通安全风险管理架构

本公司支援中心所属资讯部，负责规划及制订资通安全政策与资讯安全管理办法，并参照ISO 27001、CNS 27001资讯安全管理系统标准，推动与执行管理规定的实施，对漏洞立即进行纠正，并对纠正措施的落实情况和持续改善状况持续进行追踪，以确保政策与管理办法得到有效执行，资通相关执行成果定期呈报公司高层会议，以降低营运风险。

资讯部为维护公司资通之机密性、完整性、可用性与适法性，避免人为疏失、蓄意破坏与自然灾害引发的风险，规避资通与资讯资产不当使用、泄漏、窜改、毁损、灭失等风险，减少导致损害公司权益的事项产生，定期执行资讯安全检查，并将检查报告呈送权责主管覆核；并就检查所提出之发现与问题，予以了解、追踪及复核改善状况，以确认内外部相关人员与单位，均确实遵循公司资通安全政策与资讯安全管理办法。

二、资通安全政策

1.订定资讯安全管理办法，并确实执行。

2.定期清查非法软体，以避免使用未经授权之电脑软体。

3.每日执行电脑机房工作日志，以确保资通设备及备份正常运作。

4.详实备份，以落实灾害回复及资料库还原。

5.详尽登录机房进出管制记录，以确保机房实体安全。

6.施行机房设备异常记录、机房设备清单，以确保资通设备严格管控。

7.订定严谨灾害复原处置流程，以保证资通服务复原时效。

8.落实资讯需求申请，以确实各项资讯作业审查。

9.进行网路群组管制，内、外网路政策区分，以确定存取范围有所限制。

10.严密帐号分权管理，以确保授权存取控制。

11.完整资料销毁作业记录，以保障公司机敏资讯不外流。

12.加入资安资讯分享与分析组织，掌握可能的资安威胁与弱点资讯，以提前预防及因应。

13.定期举办员工资通安全教育训练，以提升全员资安意识。

三、投入资通安全管理之资源

资讯安全已为公司营运重要议题，对应资安管理事项及投入之资源方案如下：

1.客户满意：无重大资安事件，未发生客户资料遗失之投诉案件。

2.资安公告：定期发布资讯安全宣导，传达资安防护相关规定与注意事项。

3.资安意识提升：针对全员工同仁，定期进行社交工程攻击演练。

4.利用公司线上学习平台及新人到职说明，全面实施资通全安相关教育训练。