資訊安全
資訊安全政策
- 保護資訊系統避免受到未被授權的存取
- 防護未經授權的修改以保護資料完整性
- 確保經授權之使用者能安全且穩定存取資訊
- 確保程序符合法規要求並持續有效性驗證
資訊安全目標
- 確保資訊服務持續、穩定及安全
- 確保資產保護完整、正確及安全
具體管理方案
資源使用安全
- 網路、裝置安全:
- 導入電子郵件安全系統、入侵偵測防護系統、勒索軟體防護系統、端點防護系統、落實裝置控管
- 持續進行社交工程演練、提升員工裝置使用安全意識
- 應用程式存取安全:
- 訂定安全性原則存取行為套用全公司裝置,強化資訊安全設定,確保程式在授權下安全存取
- 循序汰換低安全性登入技術應用程式及系統
授權存取安全
- 帳號與權限管理:
- 建置單一認證登入機制與統合管理平台
- 評估導入多因子驗證系統
- 資安監控與維運:
- 建置網路及各系統可靠性監控警示系統
- 持續監控未授權異常存取警示
- 持續追蹤各項資安漏洞防護資訊,即時更新或採取防護對策
- 導入資安弱點掃描系統,定期監控並改善系統漏洞發生
- 人員與實體安全:
- 持續並即時更新身分識別系統,確保員工及訪客從警衛室到核心機密區域均受到嚴格管制及防護
資產保護安全
- 資料安全:
- 公司敏感資料存放於安全區域並經身份識別後授權人員進出
- 各部門電腦資料集中存放於機房並依層級授與存取權限
- 對外往來廠商簽訂保密協定,確保公司商業機密不遭外洩
- 透過即時備援系統及備份321原則,雙機制確保資料保全
- 資料安全保護技術強化:
- 導入企業文件數位版權管理,確保文件安全,守護企業營業秘密