資訊安全

本公司資訊安全風險管理架構由企業發展處下設資訊組,由2~3人組成負責各部門資訊安全管理之規劃與執行,定期檢討資安政策及制定資訊安全要點,報請權責主管核定後實施,落實保護公司資訊資產(包括軟、硬體設施、資料、資訊、人員及服務等)免受內、外部,蓄意或意外之威脅,維護資訊之完整性與可用性、安全性,並確保公司營運不中斷,建構全方位的資安防衛能力及同仁良好資訊安全意識。

資通安全政策

為建構臺鹽公司安全的資訊環境及保護公司所有資通系統之相關資訊資產,制定公司資通安全政策,確保公司作業順利,特制訂本政策以供全體同仁共同遵循:
1.符合法令與法規要求。
2.確保資訊資產受適當的保護,避免受到非法入侵。
3.建全資訊機房實體及環境安全防護措施,定期執行相關維護確保安全運作。
4.明確規範網路系統之使用權限,防止未經授權之存取動作。
5.建立資通安全維護計畫及資通安全事件應變機制,不定期辦理資通安全事件演練。
6.定期舉辦資通安全教育訓練及宣導,提高員工資通安全意識。
7.落實委外廠商管理,確保資通服務之安全。

資通安全管理架構

為強化本公司之資訊安全管理、確保資料、系統及網路安全,配置資安專責主管及資安專責人員。企業發展處下設資訊組負責各部門資訊安全管理之規劃與執行,定期檢討資安政策及制定資訊安全要點,報請權責主管核定後實施,落實保護公司資訊資產(包括軟、硬體設施、資料、資訊、人員及服務等)免受內、外部,蓄意或意外之威脅,維護資訊之完整性與可用性、安全性,並確保公司營運不中斷,建構全方位的資安防衛能力及同仁良好資訊安全意識。
本公司資通安全風險管理架構資安防護三步驟如下:
(一).事前:事前:預防
以權限控管、存取控制、社交工程、弱點掃描為主。
(二).事中:監控、管理
以偵測監控、應變處理、端點防護、防火牆為主。
(三).事後:追蹤、稽核
以復原計劃、改善溝通、資料留存為主。

實施

1.處理敏感性、機密性資料之人員妥適分工、設定權限。
2.對離職人員,依據人員離職之處理程序辦理,取消使用各項系統資源所有權限。
3.建立系統備援機制,定期執行重要的資料、軟體備份及備援作業。
4.設立防火牆控管外界與內部網路之資料傳輸及資源存取。
5.登入各作業系統時,依各級人員執行任務所必要之系統存取權限,密碼定期更新。
6.制定各項管理作業辦法,並落實各項規定。
7.定期、不定期進行資訊宣導及教育訓練。
8.安全保護措施:如門禁系統、帳號密碼等。
9.定期清查非法軟使用,並落實非法軟體管控。
10.禁帶私人資訊設備至公司使用,例:伺服器、桌上型電腦、液晶螢幕、可攜式電腦、印表機、燒錄器、網管型網路交換器、無線網路基地台……等。
11.建置防火牆及APT(進階持續性威脅,AdvancedPersistentThreat)系統,保護公司系統避免受到攻擊。
12.系統定期備份,進行異地備援、存放,並進行災難復原演練。
13.建立緊急應變計劃,確保災難發生時的復原作業。