資訊安全風險管理架構

  1. 宣德科技股份份有限公司(以下簡稱本公司)資訊安全之權責單位為資訊課,該課設置資訊主管乙名,與專業資訊人員數名,負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實。
  2. 本公司稽核室為資訊安全監理之督導單位,該室設置稽核主管乙名,負責督導內部資安執行狀況,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
  3. 組織運作模式採定期稽核與循環式管理,確保可靠度目標之達成且持續改善。

資訊安全政策及具體管理方案

本公司資訊安全管理機制,包含以下三個面向:

  1. 制度規範:訂定公司資訊安全管理制度,規範人員作業行為。
  2. 科技運用:建置資訊安全管理設備,落實資安管理措施。
  3. 人員訓練:進行資訊安全教育訓練,提昇全體同仁資安意識。

 

管理措施說明如下:

  1. 制度規範:本公司內部訂定資安政策及資訊安全作業程序,以規範本公司人員資訊安全行為,定期檢視相關制度是否符合營運環境變遷,並依需求適時調整。定期執行內部稽核,以強化本公司資訊安全之作業管理。
  2. 科技運用:本公司為防範各種外部資安威脅,建置各式資安防護系統,以提昇整體資訊環境之安全性。
  3. 人員訓練:本公司不定期實施人員資訊安全教育訓練實務課程與資訊安全機會宣導,藉以提昇公司同仁資安知識與專業技能。

 

本公司實施之資訊安全管理措施,包含如下:

類別說明相關措施
權限管理人員帳號, 權限管理, 系統操作人員帳號權限管理與審核
人員帳號權限定期盤點
存取管制人員存取內外部系統,
資料傳輸管道安全措施
內/外部存取管控
資料外洩管控
操作行為軌跡紀錄
外部威脅內部系統潛在弱點,
防毒防駭的保護措施
主機電腦弱點檢測與更新措施
防毒防駭, 垃圾與惡意程式偵測
系統可用系統可用狀態與服務中斷時的
處置措施
系統/網路可用狀態監控及通報機制
服務中斷之應變措施
資料備份與系統備援機制
定期災害還原演練