資訊安全風險管理架構

由資訊長擔任團隊召集人組織資安團隊,負責統籌、計畫、執行及分析資安事件,團隊包含策略小組、技術小組及查核小組:

  1. 策略小組負責研擬推動各項資訊安全政策及設備產品等導入計畫。
  2. 技術小組負責資安政策及設備產品實施之實際驗證測試、導入及後續支援。
  3. 查核小組負責在每月、每季審核資訊安全政策及設定是否有確實執行並提出查核報告。


資訊安全政策

由資安團隊依PDCA循環,定期計畫並檢討資訊安全防護措施。

  1. 落實個人電腦及伺服器防毒軟體端點防護。
  2. 外網防火牆設備應具有應用程式辨識能力,強化外部攻擊行為的防禦能力。
  3. 內網防火牆,正向表列可存取服務。
  4. 身份識別模組自動區隔員工及訪客的身份,區隔存取路徑。
  5. 垃圾郵件防護增加進階威脅防護模組,防護釣魚信件騙取機敏資料。
  6. 主動告警系統,主動告知威脅發生及設定異動。
  7. 定期報表查核。


資訊安全管理方案

資料安全是公司在遭遇重大影響時的最後一道防線,故公司除了不斷加強資訊安全設備及軟體的投資外,也持續強化備援措施,這些措施包含:

  1. 本地資料快照,在硬體未受損壞的狀況下得以最快的方式復原遭受破壞的資料。
  2. 異地抄寫,在30公里以外的地點建立備援中心即時抄寫資料,同時建立異地快照雙重防護。
  3. 資料備份異地存放,每日全備份並將備份資料取出存放到異地。
  4. 定期演練將主資料中心切換到異地運作,以期在意外發生時能夠在最短時間恢復公司營運。