經濟永續
公司應依有關法令,考量公司目標,進行資訊安全風險評估,確定各項資訊作業安全需求水準,採行適當及充足之資訊安全措施,確保持續營運,將營運損失降到最低。
資訊架構
本公司各據點主網路連線是租用中華電信FTTB VPN線路及租用中華電信ADSL VPN線路當做備援。各據點都有線路直接連接網際網路。
公司資訊系統主要分成兩大類,第 一類為通用信系統,支援公司資訊環境運作,如郵件系統,防毒系統、垃圾郵件系統、檔案伺服器。 第二類為企業營運專屬性應用系統,如總帳系統、人事系統、營業系統、生產管理系統、生產製造系統…等等。支援系統運作伺服器有Windows伺服器及IBM AS400。
資訊安全政策
公司在資訊安全管理方面,訂有「資訊安全管理辦法」,規範資訊安全之執行。
| 資訊安全政策 |
|
資安與網路風險分析
| 資產名稱 | 風險事件 | 已存在控制措施 | |
|---|---|---|---|
| 弱點 | 威脅 | ||
| 伺服器 | 系統漏洞 | 系統被入侵 | 定期進行系統漏洞修補 |
| 沒有系統備援 | 系統回復不易 | 系統虛擬化,並在不同主機建立備援 | |
| 沒有資料備份 | 資料損毀 | 同一資料採硬碟、磁帶雙備份 | |
| 沒有嚴謹控管帳戶 | 未經授權使用資料被竊 | 帳戶密碼採複雜密碼,且需定期變更 | |
| 天然災害 | 系統損毀 | 在公司異地建置備援系統 | |
| 個人電腦 | 系統漏洞 | 系統被入侵 | 安裝微軟系統更新服務(WSUS),支援系統安全性更新 |
| 電腦病毒 | 電腦中毒 | 建置集中式防毒系統,監視病毒事件及事件排除。 | |
| 應用系統 | 權限未定期檢查 | 資訊的未授權存取 | 每年定期複核使用者權限 |
| 程式未嚴謹測試 | 資料錯誤 | 程式修改有嚴謹作業流程 | |
| 員工 | 資安觀念不足 | 電腦中毒 帳號、資料被竊 |
不定期資安觀念宣導 |
資訊系統損害對公司業務影響及因應措施
資訊系統架構依其風險等級將逐步建立高可用性之異地主機備援及資料備份機制,以確保服務不中斷,並將備份媒體送往異地保管存放,加強系統備援回復演練以確保資訊系統之正常運作及資料保全,以降低無預警天災及人為疏失造成之系統中斷風險,確保符合預期系統復原目標時間。 近來資安威脅分析,其威脅來源來自外部駭客攻擊佔大宗,其次是內部員工的疏忽及欠缺資安意識,而這些造成資安事件的根源,就是系統漏洞或使用者執行不明惡意程式所造成。因此後續將更重視這些工作之執行。資訊安全雖有事後最後一道防線備援回復機制,若能做好事前的預防,將可大大降低資安事件造成對業務損失。
