資訊安全政策
願景
成為集團內具有商業整合能力的合作夥伴與實現業務目標的關鍵推動者之一。
目的
沛波鋼鐵股份有限公司(以下簡稱本公司)為強化資訊安全管理,確保所屬之資訊與資訊資產的機密性、完整性及可用性,以提供本公司之資訊業務持續運作之資訊環境,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,特制定此政策規範。
範圍
資訊安全管理涵蓋14項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害。管理事項如下:
• 資訊安全政策訂定與評估。
• 資訊安全組織。
• 人力資源安全。
• 資產管理。
• 存取控制安全。
• 密碼安全。
• 實體與環境安全。
• 作業安全。
• 通訊安全。
• 系統獲取、開發與維護之安全。
• 供應者關係管理。
• 資訊安全事件之反應及處理。
• 營運持續運作管理。
• 相關法規與施行單位政策之符合性。
目標
在配合本公司資訊安全政策要求,考量適用之資訊安全要求事項,以及風險評鑑與風險處理之結果後制訂下列資訊安全目標:
• 保護本公司關鍵業務資訊,避免未經授權的存取。
• 維持核心資訊系統持續運作確保本公司具備可供業務持續運作之資訊環境。
• 辦理資訊安全教育訓練,推廣人員資訊安全之意識與強化其對相關責任之認知。
管理架構
本公司於管理部下設置資訊課,並由資訊課推動資訊安全政策及具體管理方案,目前本公司將資訊安全委由專業團隊『鼎新電腦股份有限公司』協助執行,項目包含:購置防火牆、個人電腦防毒、伺服器主機防毒、系統資料庫備份NAS、定期硬體設備維護、災難還原演練服務等。
管理方案
為確保有效掌握公司關鍵營運系統或活動遭受破壞、不當使用等危害資通安全之重大事故時,能迅速進行災害復原處置,並在最短時間內回復,以確保核心業務之持續運作,公司每年定期由『鼎新電腦股份有限公司』協同進行『持續營運演練執行計畫』。
持續營運演練為公司IT維運重要之風險控制動作,使公司可因應任何形式災難,目的於證明公司已實施持續營運演練力求盡到良善IT管理人責任,執行過程內部資訊同仁業已充分配合學習因應技能,進而期降低發生各式災難之風險與衝擊,為有效確保持續營運控制措施之有效,本公司定期演練之。
本公司於2020年1月16日由資訊人員、鼎新資深系統工程師、鼎新持續營運顧問,共同完成『公司持續營運演練』,並於2020年2月5日取得『鼎新電腦股份有限公司』提供之『持續營運演練執行報告』。
持續營運演練劇情,考量公司資訊環境與特性,過往經驗及相關內外部議題等因素,擬列以下風險,作為演練劇情擬定:
• 儲存空間毀損資料遺失 硬碟磁區毀損,導致資料毀損。
• 實體機器硬體故障 硬體故障,導致服務無法使用。
• 系統與資料庫中毒
• 系統磁區異常
• 電力中斷
• 網路中斷
