資訊安全風險管理架構

本公司資訊安全之權責單位為資訊部，該部設置資訊主管1名，與專業資訊人員數名，負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實。

本公司稽核室為資訊全監理之督導單位，該室設置稽核主管1名，與專職稽核人員1名，負責督導內部資安執行狀況，若經查核發現缺失，則立即要求受查單位提出相關改善計畫與具體作為，且定期追蹤改善成效，以降低內部資安風險。

 

資訊安全政策及具體管理方案

(一)制度規範：訂定公司資訊安全管理制度，規範人員作業行為。本公司內部訂定多項資安規

                     範與制度，以規範本公司人員資訊安全行為，每年定期檢視相關制度是否符合

                     營運環境變遷，並依需求適時調整。

(二)科技運用：建置資訊安全管理設備，落實資安管理措施。本公司為防範各種外部資安威脅

                     ，除採多層式網路架構設計外，更建置各式資安防護系統，以提昇整體資訊環

                     境之安全性。

(三)人員訓練：進行資訊安全教育訓練，提昇全體同仁資安意識。本公司於新進人員到職時均

                     會進行資訊安全教育訓練實務課程，並隨時因應現實案例進行相關宣導。

 

類型	說明	相關作業
權限管理	人員帳號、權限管理與系統操作行為之管理措施	人員帳號權限管理與審核
存取管控	人員存取外部系統及資料傳輸管道之控制措施	內外部存取管控措施
外部威脅	內部系統潛在弱點、中毒管道與防護措施	1.主機/電腦弱點檢測及更新措施 2.病毒防護與惡意程式偵測
系統可用性	系統可用狀態與服務中斷時之處置措施	1.系統/網路可用狀態監控及通報機制 2.服務中斷之應變措施 3.資料備份措施，本/異地備份機制

 

日期	主旨	說明
112.05.23	從新聞事件看資安	一、FFA約聘人員誤刪檔案致美機場電腦停機事件。問題分析：未依規範作業 二、日產汽車委外軟體業者測試資料保存不當，1.8萬北美客戶個資外洩。問題分析：缺少安全檢測 三、馬士基遭駭，全球航運大亂。問題分析：email檔案或誤下載程式安裝、員工資安意識不足。 四、VFEmail遭毀滅性攻擊，所有資料全被刪。問題分析：權限控管不足、缺乏備份作業及災害復源策略。 五、Azuki官網、推特、Discord同時遭駭！負責人：勿點任何釣魚連結。問題分析：誤點選釣魚網址、網站安全性不足。
112.09.14	資訊安全教育訓練	資訊部敬邀精誠軟體服務股份有限公司，進行資訊安全議題講座。