|
|
- 由資訊部負責統籌資訊安全及相關事宜,擬定相關內部控制程序管理,並定期每年一次將執行情形報告董事會,本年度已於110年12月28日提報董事會。
|
|
| |
|
| |
|
(一) 目的:
由於資訊系統及網際網路應用日趨發達,為確保本公司軟硬體設備及網際網路之安全,特訂定此資訊安全管理政策,作為本公司全體員工遵循資訊
安全之依據。
|
|
|
|
(二) 定義:
為確保各項資訊系統免受任何因素之干擾、破壞、入侵或任何不當之行為,經由適當的系統規劃、程序規範及行政管理,以防範來自內、外部的
威脅,達到維護資訊系統安全的目的。 |
|
|
|
(三) 目標:
避免資訊系統遭受來自內、外部人員不當使用或蓄意破壞,或當已遭受不當使用、蓄意破壞等緊急事故時,公司能迅速應變處置,並在最短時間內
回復正常運作,降低該事故可能帶來之經濟損害及營運中斷。 |
|
|
|
(四) 範圍:
適用於本公司所有資訊系統及其使用者。資訊使用者係包含正式員工、聘僱人員、建置維護廠商及其他經授權使用之人員。 |
|
|
|
(五) 組織:
由資訊部負責統籌資訊安全及相關事宜,並擬定相關內部控制程序管理及定期進行內部檢查。 |
|
|
|
(六) 程序:
- 1. 人員資安意識及訓練:
為降低內部人為因素對資訊安全之影響,資訊部應經常實施資訊安全教育訓練及宣導,以提高人員對資訊安全之認知及意識。
- 2. 資訊系統安全管理:
(1) 電腦主機、各伺服器等設備應設置於專用機房,由資訊部負責管理,未經授權不可隨意進入,機房無人在場時,應處於上鎖狀態。
(2) 個人電腦及各項周邊設備等應依業務性質及場地空間等因素做妥適的配置,並應連接不斷電系統以確保供電穩定,以防設備受損影響公司營運。
(3) 主要設備維護及運作狀況應做成紀錄,設備故障應儘速自行排除或聯繫維護廠商緊急處理。
(4) 機房溫度須維持在各設備可接受的溫度控制範圍,並由監控設備於異常發生時通知資訊部相關人員做排除,以防設備受損影響公司營運。
(5) 新資訊系統建置,依照申請程序經過主管簽核通過之後,才能上線,確保系統可以準確和穩定的運作。
(6) 各部門需使用經授權之合法軟體,並遵守相關法令及契約規定,非經合法授權及與業務無關之軟體,不得安裝使用,違者除應擔負有關法律
責任外,倘若導致各單位設備毀損,尚應負相關損害賠償責任。
(7) 定期執行資料備援回復作業,以能在發生災害時,可迅速回復正常作業。備援媒體應異地存放於安全之環境,以確保資料完整可用。
(8) 資訊業務委外時,應於事前審慎評估可能潛在安全風險,並與廠商簽訂適當的資訊安全協定,課予相關的安全管理責任,納入契約條款。
- 3. 網路安全管理:
(1) 與外部網路連接之網點,應以防火牆及其他安全設施,控管外部與內部網路之資料傳輸與存取。
(2) 安裝企業版之防毒軟體,建置入侵偵測等防駭軟體以保護公司資訊系統免受病毒感染及惡意軟體或駭客入侵,資訊設備應隨時下載及更新最新
病毒碼、作業系統漏洞修補程式。
(3) 網路如發現有被入侵或有疑似被侵入情形,需通知資訊部進行相關處理,必要時採取法律行動。
- 4. 系統存取控制:
(1) 使用者新進、調整職務及離(停)職時,應以書面通知資訊部執行使用者之新增、調整或刪除其使用權限,確保系統安全。
(2) 資訊系統皆必須設定通行密碼,使用者通行密碼應符合安全原則,並要求定期更改通行密碼。
(3) 資訊部須定期查核各系統的安全狀況,確保資訊處理相關作業之安全。
- 5. 資訊系統發展及維護之安全管理:
(1) 系統之開發建置、維護、更新、上線執行及版本異動作業,應予安全管制,委託合法及合格廠商處理,避免不當軟體、後門及電腦病毒等危害
系統安全。
(2) 委外廠商建置及維護重要之資訊系統,應在本公司資訊部人員監督及陪同下始得為之。
(3) 程式和系統權限修改需填寫申請單,經主管核可後由資訊部人員及主管安排工作時間,並測試確認正確無誤後才准許上線使用。
- 6. 業務永續運作計畫之規劃與管理:
(1) 如發生資訊安全事件,致資訊系統無法運作或影響執行效率時,應迅速通報單位主管及資訊部人員,做相關的處置。
(2) 通報後應立即停止使用受影響之資訊系統或設備,並保留現況,資訊部人員獲報後應記錄相關的訊息,進行相關處置程序。
(3) 資訊部定期評估資安風險造成損失之可能性,經評估有需要時得投保適當之保險以降低損失金額。
|
|
| |
|
| |
| |
|
- 1. 本公司為防範各種外部資安威脅,除採多層式虛擬網路架構設計外,更建置各式資安防護系統。使用防火牆大廠品牌,並時時更新防火牆的應用
程式防護並針對人員存取外部有危險的網站時,即刻發出警示,並鎖住不讓操作人員進入。
- 2. 除每台電腦安裝世界排名前五大防毒軟體之外,並採集中式防護管理,防範電腦病毒外並能及時將防毒碼更新,且送達資訊部主要網管人員做
警示。
|
|
| |
|
| |
