資訊安全風險管理架構

1. 組織

   資訊單位負責統籌並執行資訊安全政策，宣導資訊安全訊息，提升員工資安意識，持續強化資訊安全管理與確保資料、系統及網路安全和蒐集及改進組織資訊安全管理系統績效及有效性之技術、產品或程序等。 由稽核單位每年就內部控制制度—電子資料循環(九大循環)，進行資訊安全查核，評估公司資訊作業內部控制之有效性。

2. 資訊安全風險管理機制:

   為落實資訊安全管理，公司訂有內部控制制度—電子媒體管理程序以強化整體資訊安全防護能力，架構資訊安全管理系統，達到資安訊息通報的即時性及完整性：

   1. 安全軟硬體佈署：網路管理、伺服器管理確保資訊系統之持續運作。
   2. 系統軟硬體佈署：資訊系統軟體、使用者電腦、機器設備電腦、電腦週邊及備品。
   3. 程式維護更新：資訊系統軟體程式、表單程式、資料庫。
   4. 帳號權限設定：資訊系統軟體帳號權限、使用者電腦帳號權限、檔案資料夾權限、行動式儲存設備權限、網路使用權限，確保依據部門職能規範資料存取並防止未經授權修改或使用資料與系統。
   5. 資訊週邊設備佈署：事務機、印表機、投影機，確保資訊資產之機密性、完整性。
   6. 定期執行資通安全檢視作業，確保資訊安全落實執行。

3. 資訊安全政策:

   • 資訊安全之目標：

     強化資訊安全管理，建立可信賴之各項資訊應用系統，提升本公司作業之資訊安全及服務品質，保護本公司資訊資產安全，免於因內部或外部之蓄意或意外之各種威脅與破壞，導致業務資訊遭受竄改、揭露、破壞或遺失等風險，以保障公司利益及各單位資訊系統之永續運作。

   • 資訊安全之範圍：

     1. 人員管理及資訊安全教育訓練。
     2. 電腦系統安全管理。

   • 資訊安全的原則及標準：

     1. 定期辦理資訊安全宣導及教育訓練與演練，以提高員工資訊安全意識，並遵守資訊安全規定。
     2. 建立防毒軟體進行偵測與預防資訊系統及檔案受電腦病毒感染，使用托管式偵測及回應(MDR)對惡意攻擊與入侵進行阻擋防護，以確保電腦資料安全之要求。

   • 員工應遵守之相關規定：

     1. 資訊單位接收帳號權限申請單後，建立「使用者代號」並設定複雜密碼後由員工確實保管，不得提供予 他人使用。
     2. 電腦資料及設備均設定保管單位/人員，非經授權不得任意使用、拆卸及更動週邊設備。
     3. 不得使用未經授權及來路不明之軟/硬體。
     4. 電腦設定螢幕保護程式於人員未操作電腦時啟動，再次使用電腦時，需輸入密碼啟動。
     5. 應定期將重要資料備份存放於公司儲存設備內。
     6. 不得使用非授權的即時通訊軟體。

4. 資訊安全具體管理方案:

   網際網路管控	資料存取管控	應變復原機制	宣導及檢核
   架設防火牆(高可用性)。 定期對網路進行弱點偵測掃瞄與滲透測試。 行為紀錄和操作控管。 紀錄 System Log，用於追蹤異常之情形。 定期檢討電腦網路安全控制措施。 網路連線限制。 防毒軟體安裝	電腦資料及設備均設定保管單位/人員。 依據使用者分別賦予不同存取權限。 調離人員取消原有權限 儲存設備報廢前將先抹除機密性、敏感性資料及版權軟體。 遠端登入管理資訊系統需經核准後始得啟用。 建立電子郵件系統多重驗證機制。	定期檢視緊急應變計劃。 每年定期演練系統復原。 建立系統備份機制並定期執行備份作業。 建立異地備份設備並定期執行備份作業。	定期公告並宣導資訊安全，提升員工資安意識。 定期執行社交工程演練。 定期舉辦資訊安全教育訓練。

5. 緊急通報程序

   當發生資訊安全事件時，依資訊系統重大災害緊急應變流程，判斷事件類型並找出問題點，即時處理並留下紀錄。

6. 執行狀況

   1. 本公司目前無重大資安事件導致營業損害之情事。
   2. 持續落實資訊安全管理政策目標，並定期實施復原計劃演練，保護公司重要系統與資料安全。

7. 資通安全風險管理

   資安專責單位：資訊管理部
   資安主管：蘇治源
   資安設置總人數：2
   會議日期：2023/12/29
   議題：2023年度 資通安全年度總結
   結論：
   ●2023年資通安全風險管理會議1次
   ●資安釣魚演習2次(上、下半年度)
   ●員工教育訓練18次(新人訓、社交工程、資安宣導)
   ●弱點掃描1次
   ●外部稽核1次(反恐外部稽核)
   ●備份還原演練1次
   ●資安相關軟硬體續約持續保持防護
   ●緊急應變措施辦法修訂，以符合時宜