經(jīng)濟(jì)永續(xù)

經(jīng)營(yíng)現(xiàn)況風(fēng)險(xiǎn)管理品質(zhì)與客戶

公司應(yīng)依有關(guān)法令，考量公司目標(biāo)，進(jìn)行資訊安全風(fēng)險(xiǎn)評(píng)估，確定各項(xiàng)資訊作業(yè)安全需求水準(zhǔn)，採(cǎi)行適當(dāng)及充足之資訊安全措施，確保持續(xù)營(yíng)運(yùn)，將營(yíng)運(yùn)損失降到最低。

資訊架構(gòu)

本公司各據(jù)點(diǎn)主網(wǎng)路連線是租用中華電信FTTB VPN線路及租用中華電信ADSL VPN線路當(dāng)做備援。各據(jù)點(diǎn)都有線路直接連接網(wǎng)際網(wǎng)路。

公司資訊系統(tǒng)主要分成兩大類，第一類為通用信系統(tǒng)，支援公司資訊環(huán)境運(yùn)作，如郵件系統(tǒng)，防毒系統(tǒng)、垃圾郵件系統(tǒng)、檔案伺服器。第二類為企業(yè)營(yíng)運(yùn)專屬性應(yīng)用系統(tǒng)，如總帳系統(tǒng)、人事系統(tǒng)、營(yíng)業(yè)系統(tǒng)、生產(chǎn)管理系統(tǒng)、生產(chǎn)製造系統(tǒng)…等等。支援系統(tǒng)運(yùn)作伺服器有Windows伺服器及IBM AS400。

資訊安全政策

公司在資訊安全管理方面，訂有「資訊安全管理辦法」，規(guī)範(fàn)資訊安全之執(zhí)行。

資訊安全政策

資訊安全管理規(guī)定，應(yīng)符合法令和合約的要求。
維護(hù)資料的完整性與可用性。
限制存取機(jī)密的資料。
確保被許可的使用者可以存取檔案與資源。
防止未經(jīng)許可的使用。
防止意外事件危及硬體、軟體以及其他資源。
防止蓄薏破壞硬體、軟體以及其他資源的事件。
防止網(wǎng)路資源不當(dāng)被使用。

資安與網(wǎng)路風(fēng)險(xiǎn)分析

資產(chǎn)名稱	風(fēng)險(xiǎn)事件		已存在控制措施
資產(chǎn)名稱	弱點(diǎn)	威脅	已存在控制措施
伺服器	系統(tǒng)漏洞	系統(tǒng)被入侵	定期進(jìn)行系統(tǒng)漏洞修補(bǔ)
	沒有系統(tǒng)備援	系統(tǒng)回復(fù)不易	系統(tǒng)虛擬化，並在不同主機(jī)建立備援
	沒有資料備份	資料損毀	同一資料採(cǎi)硬碟、磁帶雙備份
	沒有嚴(yán)謹(jǐn)控管帳戶	未經(jīng)授權(quán)使用資料被竊	帳戶密碼採(cǎi)複雜密碼，且需定期變更
	天然災(zāi)害	系統(tǒng)損毀	在公司異地建置備援系統(tǒng)
個(gè)人電腦	系統(tǒng)漏洞	系統(tǒng)被入侵	安裝微軟系統(tǒng)更新服務(wù)(WSUS)，支援系統(tǒng)安全性更新
個(gè)人電腦	電腦病毒	電腦中毒	建置集中式防毒系統(tǒng)，監(jiān)視病毒事件及事件排除。
應(yīng)用系統(tǒng)	權(quán)限未定期檢查	資訊的未授權(quán)存取	每年定期複核使用者權(quán)限
應(yīng)用系統(tǒng)	程式未嚴(yán)謹(jǐn)測(cè)試	資料錯(cuò)誤	程式修改有嚴(yán)謹(jǐn)作業(yè)流程
員工	資安觀念不足	電腦中毒帳號(hào)、資料被竊	不定期資安觀念宣導(dǎo)

資訊系統(tǒng)損害對(duì)公司業(yè)務(wù)影響及因應(yīng)措施

資訊系統(tǒng)架構(gòu)依其風(fēng)險(xiǎn)等級(jí)將逐步建立高可用性之異地主機(jī)備援及資料備份機(jī)制，以確保服務(wù)不中斷，並將備份媒體送往異地保管存放，加強(qiáng)系統(tǒng)備援回復(fù)演練以確保資訊系統(tǒng)之正常運(yùn)作及資料保全，以降低無預(yù)警天災(zāi)及人為疏失造成之系統(tǒng)中斷風(fēng)險(xiǎn)，確保符合預(yù)期系統(tǒng)復(fù)原目標(biāo)時(shí)間。近來資安威脅分析，其威脅來源來自外部駭客攻擊佔(zhàn)大宗，其次是內(nèi)部員工的疏忽及欠缺資安意識(shí)，而這些造成資安事件的根源，就是系統(tǒng)漏洞或使用者執(zhí)行不明惡意程式所造成。因此後續(xù)將更重視這些工作之執(zhí)行。資訊安全雖有事後最後一道防線備援回復(fù)機(jī)制，若能做好事前的預(yù)防，將可大大降低資安事件造成對(duì)業(yè)務(wù)損失。