資通安全管理
資安風險管理
為強化資訊安全管理,確保所屬之資訊資產的機密性、完整性及可用性,倉和制定「 資訊安全政策 」及「 資訊安全管理作業辦法 」作為資訊安全管理組織分工、人員教育訓練、電腦硬軟體、網路及實體環境之依循,以提供倉和業務持續運作環境,並符合相關法規之要求,2024 因導入台灣智慧財產管理制度( TIPS )配合修正「 資訊安全管理作業辦法 」,其相關安全政策適用範圍包含倉和全體同仁、契約人員及配合廠商。對於客戶資料之管理,若無另簽訂合同,則依「 文件與資料管理程序 」及「 營業秘密管理辧法 」規定辦理。倉和重視資訊軟體、資訊權限、資訊分級等管理,落實用戶設備、機房設備及網通設備的維護,每日排程資訊備份,2024 年進行資訊系統災害復原演練及 4 次備援資料復原測試驗證,結果皆為正常。本公司亦落實人員資安教育訓練,針對公司治理的制度、系統、人員的管理防護,倉和把關公司內部的資訊系統環境安全,維護其安全運作,防止駭客蓄意入侵、人為疏失或不法使用等情事,再結合風險管理制度和內部稽核流程等各項管理措施,以期達成資訊安全的全面防護。透過周全政策及制度有效落實,2024 年倉和未發生客戶隱私或其他資訊外洩事件。
權責安排
- 資訊部:為資訊安全之權責單位,該部設置資訊主管,與專業資訊人員,負責訂定、推動與落實資訊安全政策。
- 稽核室:為資訊安全風險之查核單位,負責督導及查核內部資安執行狀況。若查核有發現缺失,即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
管理制度
為貫徹資訊管理制度能有效執行,資訊安全政策包含以下三個面向:
.制度規範:訂定資安管理規範與作業辦法,以規範人員資訊安全行為,每年定期檢視相關制度是否符合法規與營運環境變遷,並依需求適時調整。
.系統防護:為防範各種資安威脅,除採取多層式網路架構設計,更建置各式資安防護系統,以提升整體資訊環境之安全性。
.人員訓練:實施新進人員資訊安全教育訓練實務課程,並不定期對員工實施資訊安全觀念之宣導,以提昇人員對資訊安全之認知及意識。
| 管理措施類別 | 風險管理運作 |
|---|---|
| 電腦設備管理 | • 各應用伺服器等設備均設置於專用機房,並進行門禁進出管制,且保留進出紀錄存查 • 機房備有獨立空調,以維持設備於適當環境下運轉,並配置消防滅火設備及環境監控系統,以隨時掌控機房環境安全狀況 • 機房配置不斷電設備,避免因外部電力異常,造成機房設備損害 |
| 網路安全管理 | • 建置防火牆系統,降低外部網路危害風險 • 上網行為管控,以屏蔽訪問不適當網頁,確保人員上網安全 |
| 病毒防護與管理 | • 伺服器與用戶端設備皆安裝企業級防毒軟體,集中控管病毒碼更新狀況,並設置即時通報機制,確保異常通報即時處理 • 用戶端設備建置安控軟體,管制用戶端於周邊設備應用與檔案使用記錄,以避免用戶端於周邊設備與資料移動的不當使用 • 建置電子郵件過濾與歸檔系統,避免垃圾郵件或含有危害內容郵件 流入用戶端電腦,而造成公司資訊環境危害 |
| 系統存取控制 | • 員工於各資訊服務之使用,需依資訊安全政策之規定,提出資訊權限申請作業,並經核決程序簽准後,由資訊單位進行權限設定,方可使用操作資訊服務 • 員工辦理離職或職務調整,須會辦資訊單位,以確保員工資訊服務權限得適當處置 |
| 系統永續運作 | • 建置備份管理系統,並設置異地備援機制,以確保公司重要系統與資料能得到完善保存與備份 • 落實災害復原演練作業,並進行備份資料異機還原演練,以確保備份資料之有效性及實際災害復原作業的可行性 |
| 資安教育與宣導 | • 定期針對新進員工進行資訊安全教育訓練課程,讓員工了解公司資訊安全規定與政策,降低員工觸及資訊安全規定之風險 • 不定期宣導資訊安全觀念,以加強員工資訊安全防衛觀念 |
資訊安全事件通報程序