首页 /公司治理/信息安全风险管理架构
本公司信息安全之权责单位为信息部,设置信息主管一名,及专业资讯工程师数名,负责订定公司信息安全政策,规划信息安全措施,并执行相关之资讯安全作业。
本公司稽核室为信息安全监理之查核单位,若查核发现缺失,旋即要求受查单位提出相关改善计划并呈报董事会,且定期追踪改善成效,以降低内部资安风险。
每年会计师进行信息作业查核,若发现缺失,会要求提出改善措施并追踪改善结果。
基于信息安全的重要性,权责单位每年定期向董事会报告企业信息安全治理与执行状况。
为强化资通安全管理,确保信息的机密性、完整性以及可用性,并免于遭受内、外部的蓄意或意外的威胁,公司资通安全设施与管理方式分为六大项阐述如下:
(1)电脑设备安全管理
1.本公司各应用服务器等设备均设置于专用机房,机房门禁采感应刷卡进出,且保留进出纪录存查。
2.机房内部备有独立空调,维持电脑设备于适当的温度环境下运转; 并配置药剂式灭火器,可适用于一般或电器所引起的火灾。
3.机房主机配置不断电及稳压设备,并连结公司大楼自备的发电机供电系统,避免台电意外瞬间断电造成系统当机,或确保临时停电时不会中断电脑应用系统的运作。
(2)网络安全管理
1.强化网络控管,与外界网络连线的入口,配置企业级防火墙,阻挡黑客非法入侵。
2.台中与新竹机房与基隆办公室site to site的连线作业,使用资料加密的方式,避免资料传输过程遭受非法撷取。
3.同仁由远端登入公司内网存取ERP系统,必须申请VPN帐号,透过VPN的安全方式始能登入使用,且均留有使用纪录可稽查。
(3)病毒防护与管理
1.服务器与同仁终端电脑设备内均安装有防护软件,病毒码采自动更新方式,确保能阻挡最新型的病毒,同时可侦测、防止具有潜在威胁性的系统执行文件之安装行为。
2.防病毒系统对于所侦测或拦截到的病毒,除立即予以隔离或删除外,并主动发出受感染和处于风险的计算机风险报告,以利管理人员采取因应行动。
(4)系统访问控制。
1.同仁对各应用系统的使用,透过公司内部规定的系统权限申请程序,经权责主管核准后,由信息单位建立系统帐号,并经各系统管理员依所申请的功能权限做授权方得存取。
2.账号的密码设置,规定适当的强度、字数,并且必须文数字、特殊符号混杂,才能通过。
3.同仁办理离(休)职手续时,必须会办信息单位,进行各系统账号的删除作业。
(5)确保系统的稳定运作。
1.系统备份:建置备份系统,采取定期备份机制,系统与资料库除了上传一份于机房备份主机外,电脑机房内备份主机2及新竹机房备份主机均另各存一份,以确保绝对的安全。
2.灾害复原演练:各系统每年实施一次演练,选定还原日期基准点后,由备份媒体回存于系统主机,再由使用单位书面确认回复资料的正确性,确保备份媒体的正确性与有效性。
3.租用电信公司两条数据线路,透过带宽管理设备,两线路并联互为备援使用,确保网络通讯不中断。
(6)资安倡导与教育训练
1.定期倡导。 要求同仁定期更换系统密码,以维账号安全。
2.讲座倡导。 每年不定期对内部同仁实施信息安全相关的教育训练课程
3.投入资通安全管理之资源
(1)网络硬件设备如防火墙、邮件防毒、网管型集线路等。
(2)软件系统如备份管理软件、VPN认证等。
(3)电信服务如多重线路、主机备份服务、入侵防护服务等。
(4)投入人力如: 每日各系统状态检查、每周定期备份及备份媒体异地存放之执行、每年至少两次资安倡导教育课程、每年系统灾难复原执行演练、每年对信息循环之内部稽核、会计师稽核等。
(5)资安人力: 设置资安主管及资安人员,负责资安架构设计、资安维运与监控、资安事件回应与调查、资安政策检讨与修订,资安主管每年向董事会至少报告一次。
发言人
总顾问/许俊麒
电邮:jerryhsu.trk@gmail.com
代理发言人
股务部经理 / 罗淑敏
电话:04-36118888#6661
电邮:kelly.lo@trkmall.com.tw
电邮:jessie.li@trkmall.com.tw
+886 4-3611-8888
+886 4-3611-6688
trk04690983@gmail.com