信息安全风险管理架构

由信息长担任团队召集人组织资安团队,负责统筹、计划、执行及分析资安事件,团队包含策略小组、技术小组及查核小组:

  1. 策略小组负责研拟推动各项信息安全政策及设备产品等导入计划。
  2. 技术小组负责资安政策及设备产品实施之实际验证测试、导入及后续支持。
  3. 查核小组负责在每月、每季审核信息安全政策及设定是否有确实执行并提出查核报告。


信息安全政策

由资安团队依PDCA循环,定期计划并检讨信息安全防护措施。

  1. 落实个人计算机及服务器防病毒软件端点防护。
  2. 外网防火墙设备应具有应用程序辨识能力,强化外部攻击行为的防御能力。
  3. 内网防火墙,正向表列可存取服务。
  4. 身份识别模块自动区隔员工及访客的身份,区隔存取路径。
  5. 垃圾邮件防护增加进阶威胁防护模块,防护钓鱼信件骗取机敏数据。
  6. 主动告警系统,主动告知威胁发生及设定异动。
  7. 定期报表查核。


信息安全管理方案

数据安全是公司在遭遇重大影响时的最后一道防线,故公司除了不断加强信息安全设备及软件的投资外,也持续强化备援措施,这些措施包含:

  1. 本地数据快照,在硬件未受损坏的状况下得以最快的方式复原遭受破坏的数据。
  2. 异地抄写,在30公里以外的地点建立备援中心实时抄写数据,同时建立异地快照双重防护。
  3. 数据备份异地存放,每日全备份并将备份数据取出存放到异地。
  4. 定期演练将主数据中心切换到异地运作,以期在意外发生时能够在最短时间恢复公司营运。