资通安全管理
资安风险管理
为强化资讯安全管理,确保所属之资讯资产的机密性、完整性及可用性,仓和制定「 资讯安全政策」及「 资讯安全管理作业办法」作为资讯安全管理组织分工、人员教育训练、电脑硬软体、网路及实体环境之依循,以提供仓和业务持续运作环境,并符合相关法规之要求,2024 因导入台湾智慧财产管理制度( TIPS )配合修正「 资讯安全管理作业办法」,其相关安全政策适用范围包含仓和全体同仁、契约人员及配合厂商。对于客户资料之管理,若无另签订合同,则依「 文件与资料管理程序 」及「 营业秘密管理辧法 」规定办理。仓和重视资讯软体、资讯权限、资讯分级等管理,落实用户设备、机房设备及网通设备的维护,每日排程资讯备份,2024 年进行资讯系统灾害复原演练及4 次备援资料复原测试验证,结果皆为正常。本公司亦落实人员资安教育训练,针对公司治理的制度、系统、人员的管理防护,仓和把关公司内部的资讯系统环境安全,维护其安全运作,防止骇客蓄意入侵、人为疏失或不法使用等情事,再结合风险管理制度和内部稽核流程等各项管理措施,以期达成资讯安全的全面防护。透过周全政策及制度有效落实,2024 年仓和未发生客户隐私或其他资讯外泄事件。
权责安排
- 资讯部:为资讯安全之权责单位,该部设置资讯主管,与专业资讯人员,负责订定、推动与落实资讯安全政策。
- 稽核室:为资讯安全风险之查核单位,负责督导及查核内部资安执行状况。若查核有发现缺失,即要求受查单位提出相关改善计画与具体作为,且定期追踪改善成效,以降低内部资安风险。
管理制度
为贯彻资讯管理制度能有效执行,资讯安全政策包含以下三个面向:
.制度规范:订定资安管理规范与作业办法,以规范人员资讯安全行为,每年定期检视相关制度是否符合法规与营运环境变迁,并依需求适时调整。
.系统防护:为防范各种资安威胁,除采取多层式网路架构设计,更建置各式资安防护系统,以提升整体资讯环境之安全性。
.人员训练:实施新进人员资讯安全教育训练实务课程,并不定期对员工实施资讯安全观念之宣导,以提升人员对资讯安全之认知及意识。
| 管理措施类别 | 风险管理运作 |
|---|---|
| 电脑设备管理 | • 各应用伺服器等设备均设置于专用机房,并进行门禁进出管制,且保留进出纪录存查 • 机房备有独立空调,以维持设备于适当环境下运转,并配置消防灭火设备及环境监控系统,以随时掌控机房环境安全状况 • 机房配置不断电设备,避免因外部电力异常,造成机房设备损害 |
| 网路安全管理 | • 建置防火墙系统,降低外部网路危害风险 • 上网行为管控,以屏蔽访问不适当网页,确保人员上网安全 |
| 病毒防护与管理 | • 伺服器与用户端设备皆安装企业级防毒软体,集中控管病毒码更新状况,并设置即时通报机制,确保异常通报即时处理 • 用户端设备建置安控软体,管制用户端于周边设备应用与档案使用记录,以避免用户端于周边设备与资料移动的不当使用 • 建置电子邮件过滤与归档系统,避免垃圾邮件或含有危害内容邮件 流入用户端电脑,而造成公司资讯环境危害 |
| 系统存取控制 | • 员工于各资讯服务之使用,需依资讯安全政策之规定,提出资讯权限申请作业,并经核决程序签准后,由资讯单位进行权限设定,方可使用操作资讯服务 • 员工办理离职或职务调整,须会办资讯单位,以确保员工资讯服务权限得适当处置 |
| 系统永续运作 | • 建置备份管理系统,并设置异地备援机制,以确保公司重要系统与资料能得到完善保存与备份 • 落实灾害复原演练作业,并进行备份资料异机还原演练,以确保备份资料之有效性及实际灾害复原作业的可行性 |
| 资安教育与宣导 | • 定期针对新进员工进行资讯安全教育训练课程,让员工了解公司资讯安全规定与政策,降低员工触及资讯安全规定之风险• 不定期宣导资讯安全观念,以加强员工资讯安全防卫观念 |
资讯安全事件通报程序