信息安全风险管理

企业信息安全防护

本企业在确保企业信息的机密性及完整性上，以及防止企业不受黑客入侵、病毒攻击、间谍软件、木马程序等外部攻击之防护措施说明如下：

(一) 本企业计算机信息系统均依照企业内各公司组织编制及各项制度，自行开发并量身订做，除强调分工概念外，同时达到相互制衡目的，如采购与发包、资金调度与财务前后风险控管等皆分别独立作业且相互勾稽，以避免作业风险，另本企业管理计算机操作系统分为人事管理、营业管理、生产管理、工程管理、资材管理与财务及会计管理等六大管理机能，彼此间相互串连、环环相扣，且资料经一次输入后，可多层次传输应用，以避免错误，另针对异常进行管理，经由管理报表主动显示异常，使本企业兼具有经营管理及风险控制之特色。

(二) 本企业在计算机信息系统上各项重要资料如操作系统、应用软件及资料档案等，皆有专人做定期资料备份，而相关重要档案及需长期保留之备份，其存放地点均具备防火、防震、防爆及防潮等保全设备并做异地存放。另本企业计算机编程、测试、布署、使用及维护，均有严密之作业管制流程，核定使用之程序不得擅自变更外，如有变更之必要时，皆需呈报核准后才得以变更。在与外部银行及合作公司间做商业资料交换时，其资料均使用加密机制进行传输及交换，避免传输过程中资料被窃取之风险。

(三) 在防范黑客的攻击上，本企业在对外营运之信息系统如电子商务、企业网站等，已建置ㄧ套安全防护系统来防范黑客的非法攻击，并针对相关信息系统建置多组辅助及替换计算机设备，以降低信息系统中断风险，同时制定严格的管控制度，管制员工私自架设无线网络及申装ADSL，以杜绝黑客入侵的可行管道。

(四) 在防范计算机病毒的攻击上，本企业已布署ㄧ套完善的病毒防护机制，除透过实时病毒码更新来防止病毒的感染外，并定期更新系统软件上之漏洞，提高计算机本身的防御力，另配合网络之监控机制，一但发现病毒感染扩散状况，将做立即隔绝措施，并由专门小组派员进行排除工作，将伤害降至最小。