資訊安全管理

資訊安全風險管理架構

本公司資訊安全之權責單位為管理部,並委外資安公司,共同訂定公司資訊安全政策,規劃資訊安全措施,並執行相關之資訊安全作業。

基於資訊安全的重要性,權責單位每年定期向董事會報告公司資訊安全治理與執行狀況。

為強化資訊安全管理,確保資訊的可用性、完整性以及機密性,並免於遭受內、外部的蓄意或意外的威脅,安鈦克公司資訊安全設施與管理方式分為六大項,茲闡述如下:

一、電腦設備安全管理

  1. 本公司電腦主機、各應用伺服器等設備均設置於專用機房,且保留進出紀錄存查。
  2. 機房內部備有獨立空調,維持電腦設備於適當的溫度環境下運轉;並放置滅火器,可適用於一般或電器所引起的火災。
  3. 機房主機配置不斷電與穩壓設備,避免因台電意外瞬間斷電造成系統直接關機,進而造成系統或資料損壞。

二、網路安全管理

  1. 與外界網路連線的入口,配置企業級防火牆,阻擋駭客非法入侵。
  2. 各子公司與台北總公司透過各防火牆之Site To Site完成加密連線,且使用者連入各主機及資料中心需使用專屬帳號及密碼進行簽入,始能進行作業或資料讀取。
  3. 同仁由遠端登入公司內網存取ERP系統,必須申請VPN帳號,透過VPN的安全方式始能登入使用,且均留有使用紀錄可稽查。

三、病毒防護與管理

  1. 伺服器與同仁終端電腦設備內均安裝有端點防護軟體,病毒碼採自動更新方式,確保能阻擋最新型的病毒,同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為。
  2. 電子郵件伺服器由服務供應商提供相關之郵件主機防護與垃圾郵件過濾機制,並協助防堵病毒,於各使用者電腦中再藉由中央控管型防毒系統進行第二層之防堵病毒透過郵件入侵。

四、系統存取控制

  1. 同仁對各應用系統的使用,透過公司內部規定的系統權限申請程序,經權責主管核准後,由資訊單位建立系統帳號,並經各系統管理員依所申請的功能權限做授權方得存取。
  2. 帳號的密碼設置,規定適當的強度、字數,並且必須文數字、特殊符號混雜,才能通過。
  3. 同仁辦理離(休)職手續時,必須會辦資訊單位,進行各系統帳號的刪除作業。

五、確保系統的永續運作

  1. 系統備份:每周異地備份系統,Local採取日備份機制,電腦機房及異地均另各存一份複本,以確保系統與資料的安全。
  2. 災害復原演練:各系統每年實施一次演練,選定還原日期基準點後,由備份媒體回存於系統主機,再由使用單位書面確認回復資料的正確性,確保備份媒體的正確性與有效性。

六、資安宣導與教育訓練

  1. 啟用安全機制強制同仁定期更換系統密碼,逾期未更換時將無法登入任何系統以維帳號安全。
  2. 每年對內部同仁實施資訊安全相關的教育訓練課程。
資訊安全管理與執行情形
2022