經(jīng)濟永續(xù)


公司應依有關法令,考量公司目標,進行資訊安全風險評估,確定各項資訊作業(yè)安全需求水準,採行適當及充足之資訊安全措施,確保持續(xù)營運,將營運損失降到最低。
資訊架構
本公司各據(jù)點主網(wǎng)路連線是租用中華電信FTTB VPN線路及租用中華電信ADSL VPN線路當做備援。各據(jù)點都有線路直接連接網(wǎng)際網(wǎng)路。
公司資訊系統(tǒng)主要分成兩大類,第 一類為通用信系統(tǒng),支援公司資訊環(huán)境運作,如郵件系統(tǒng),防毒系統(tǒng)、垃圾郵件系統(tǒng)、檔案伺服器。 第二類為企業(yè)營運專屬性應用系統(tǒng),如總帳系統(tǒng)、人事系統(tǒng)、營業(yè)系統(tǒng)、生產(chǎn)管理系統(tǒng)、生產(chǎn)製造系統(tǒng)…等等。支援系統(tǒng)運作伺服器有Windows伺服器及IBM AS400。

資訊安全政策
公司在資訊安全管理方面,訂有「資訊安全管理辦法」,規(guī)範資訊安全之執(zhí)行。
資訊安全政策 |
|
資安與網(wǎng)路風險分析
資產(chǎn)名稱 | 風險事件 | 已存在控制措施 | |
---|---|---|---|
弱點 | 威脅 | ||
伺服器 | 系統(tǒng)漏洞 | 系統(tǒng)被入侵 | 定期進行系統(tǒng)漏洞修補 |
沒有系統(tǒng)備援 | 系統(tǒng)回復不易 | 系統(tǒng)虛擬化,並在不同主機建立備援 | |
沒有資料備份 | 資料損毀 | 同一資料採硬碟、磁帶雙備份 | |
沒有嚴謹控管帳戶 | 未經(jīng)授權使用資料被竊 | 帳戶密碼採複雜密碼,且需定期變更 | |
天然災害 | 系統(tǒng)損毀 | 在公司異地建置備援系統(tǒng) | |
個人電腦 | 系統(tǒng)漏洞 | 系統(tǒng)被入侵 | 安裝微軟系統(tǒng)更新服務(WSUS),支援系統(tǒng)安全性更新 |
電腦病毒 | 電腦中毒 | 建置集中式防毒系統(tǒng),監(jiān)視病毒事件及事件排除。 | |
應用系統(tǒng) | 權限未定期檢查 | 資訊的未授權存取 | 每年定期複核使用者權限 |
程式未嚴謹測試 | 資料錯誤 | 程式修改有嚴謹作業(yè)流程 | |
員工 | 資安觀念不足 | 電腦中毒 帳號、資料被竊 |
不定期資安觀念宣導 |
資訊系統(tǒng)損害對公司業(yè)務影響及因應措施
資訊系統(tǒng)架構依其風險等級將逐步建立高可用性之異地主機備援及資料備份機制,以確保服務不中斷,並將備份媒體送往異地保管存放,加強系統(tǒng)備援回復演練以確保資訊系統(tǒng)之正常運作及資料保全,以降低無預警天災及人為疏失造成之系統(tǒng)中斷風險,確保符合預期系統(tǒng)復原目標時間。 近來資安威脅分析,其威脅來源來自外部駭客攻擊佔大宗,其次是內(nèi)部員工的疏忽及欠缺資安意識,而這些造成資安事件的根源,就是系統(tǒng)漏洞或使用者執(zhí)行不明惡意程式所造成。因此後續(xù)將更重視這些工作之執(zhí)行。資訊安全雖有事後最後一道防線備援回復機制,若能做好事前的預防,將可大大降低資安事件造成對業(yè)務損失。
