資訊安全風險管理

    資訊安全政策PDCA

    •  PLAN:規劃以認知、管理、追蹤為三方向的資訊安全行動方案。
    •  DO:厲行各項資訊安全行動方案規範。
    •  CHECK:追蹤行動方案落實程度,找出潛在威脅點。
    •  ACT:加強或調整管控方式以降低或消除資安威脅。

    資訊安全行動方案

    •  認知行動方案:

                   1.全廠區視需要不定期執行資安教育訓練課程。

                   2.資安訊息宣導並公告,加強同仁資安防護觀念。

    •  管理行動方案:

                   1.明確定義公司資安內控管理辦法,涵蓋範圍包括部門功能及權責劃分、系統程式開發及修改、編輯系統文書之控制、

                      程式及資料存取控管、資料輸出入之控制、資料處理之控制、檔案及設備控管、硬體與系統軟體購置、緊急復原計

                      劃及測試程序控管、網路安全管理。

                   2.建立病毒防護軟硬體與進階行為防護機制。

                   3.在網路存取、通訊軟體、紙本列印、移動裝置與外寄郵件實施端點管理,確保紀錄可供查核與使用權限管控。

                   4.建立外來資訊設備病毒防護作業流程,明確定義外部資訊設備進入廠區的審核與功能開放之流程定義。

                   5.建立新進機台設備病毒防護作業流程,確認進廠前廠商安全承諾作業與進廠後檢核與防護作業之流程定義。

    •  追蹤行動方案:

                   1.存取作業進行備份與記錄保存以供必要時查核。

                   2.建立自動化日報/週報/月報/季報通報機制,以不同維度分析追蹤事件潛在風險,並通知相關人員確認有無異常。

                   3.針對宣告離職人員追蹤機制,即時示警可能的風險加以確認以執行必要措施。

                   4.每日進行病毒處理與追蹤分析,杜絕可能的途徑風險。

                   5.依據系統商發布漏洞更新與訊息追蹤,即時執行資安相關的必要更新項目。