|
|
- 由资讯部负责统筹资讯安全及相关事宜,拟定相关内部控制程序管理,并定期每年一次将执行情形报告董事会,本年度已于110年12月28日提报董事会。
|
|
| |
|
| |
|
(一) 目的:
由于资讯系统及网际网路应用日趋发达,为确保本公司软硬体设备及网际网路之安全,特订定此资讯安全管理政策,作为本公司全体员工遵循资讯
安全之依据。
|
|
|
|
(二) 定义:
为确保各项资讯系统免受任何因素之干扰、破坏、入侵或任何不当之行为,经由适当的系统规划、程序规范及行政管理,以防范来自内、外部的
威胁,达到维护资讯系统安全的目的。 |
|
|
|
(三) 目标:
避免资讯系统遭受来自内、外部人员不当使用或蓄意破坏,或当已遭受不当使用、蓄意破坏等紧急事故时,公司能迅速应变处置,并在最短时间内
回复正常运作,降低该事故可能带来之经济损害及营运中断。 |
|
|
|
(四) 范围:
适用于本公司所有资讯系统及其使用者。资讯使用者系包含正式员工、聘僱人员、建置维护厂商及其他经授权使用之人员。 |
|
|
|
(五) 组织:
由资讯部负责统筹资讯安全及相关事宜,并拟定相关内部控制程序管理及定期进行内部检查。 |
|
|
|
(六) 程序:
- 1. 人员资安意识及训练:
为降低内部人为因素对资讯安全之影响,资讯部应经常实施资讯安全教育训练及宣导,以提高人员对资讯安全之认知及意识。
- 2. 资讯系统安全管理:
(1) 电脑主机、各服务器等设备应设置于专用机房,由资讯部负责管理,未经授权不可随意进入,机房无人在场时,应处于上锁状态。
(2) 个人电脑及各项周边设备等应依业务性质及场地空间等因素做妥适的配置,并应连接不断电系统以确保供电稳定,以防设备受损影响公司营运。
(3) 主要设备维护及运作状况应做成纪录,设备故障应尽速自行排除或联系维护厂商紧急处理。
(4) 机房温度须维持在各设备可接受的温度控制范围,并由监控设备于异常发生时通知资讯部相关人员做排除,以防设备受损影响公司营运。
(5) 新资讯系统建置,依照申请程序经过主管签核通过之后,才能上线,确保系统可以准确和稳定的运作。
(6) 各部门需使用经授权之合法软体,并遵守相关法令及契约规定,非经合法授权及与业务无关之软体,不得安装使用,违者除应担负有关法律责任
外,倘若导致各单位设备毁损,尚应负相关损害赔偿责任。
(7) 定期执行资料备援回复作业,以能在发生灾害时,可迅速回复正常作业。备援媒体应异地存放于安全之环境,以确保资料完整可用。
(8) 资讯业务委外时,应于事前审慎评估可能潜在安全风险,并与厂商签订适当的资讯安全协定,课予相关的安全管理责任,纳入契约条款。
- 3. 网路安全管理:
(1) 与外部网路连接之网点,应以防火墙及其他安全设施,控管外部与内部网路之资料传输与存取。
(2) 安装企业版之防毒软体,建置入侵侦测等防骇软体以保护公司资讯系统免受病毒感染及恶意软体或骇客入侵,资讯设备应随时下载及更新最新
病毒码、作业系统漏洞修补程序。
(3) 网路如发现有被入侵或有疑似被侵入情形,需通知资讯部进行相关处理,必要时采取法律行动。
- 4. 系统存取控制:
(1) 使用者新进、调整职务及离(停)职时,应以书面通知资讯部执行使用者之新增、调整或删除其使用权限,确保系统安全。
(2) 资讯系统皆必须设定通行密码,使用者通行密码应符合安全原则,并要求定期更改通行密码。
(3) 资讯部须定期查核各系统的安全状况,确保资讯处理相关作业之安全。
- 5. 资讯系统发展及维护之安全管理:
(1) 系统之开发建置、维护、更新、上线执行及版本异动作业,应予安全管制,委讬合法及合格厂商处理,避免不当软体、后门及电脑病毒等危害
系统安全。
(2) 委外厂商建置及维护重要之资讯系统,应在本公司资讯部人员监督及陪同下始得为之。
(3) 程序和系统权限修改需填写申请单,经主管核可后由资讯部人员及主管安排工作时间,并测试确认正确无误后才准许上线使用。
- 6. 业务永续运作计划之规划与管理:
(1) 如发生资讯安全事件,致资讯系统无法运作或影响执行效率时,应迅速通报单位主管及资讯部人员,做相关的处置。
(2) 通报后应立即停止使用受影响之资讯系统或设备,并保留现况,资讯部人员获报后应记录相关的讯息,进行相关处置程序。
(3) 资讯部定期评估资安风险造成损失之可能性,经评估有需要时得投保适当之保险以降低损失金额。
|
|
| |
|
| |
| |
|
- 1. 本公司為防範各種外部資安威脅,除採多層式虛擬網路架構設計外,更建置各式資安防護系統。使用防火牆大廠品牌,並時時更新防火牆的應用
程式防護並針對人員存取外部有危險的網站時,即刻發出警示,並鎖住不讓操作人員進入。
- 2. 除每台電腦安裝世界排名前五大防毒軟體之外,並採集中式防護管理,防範電腦病毒外並能及時將防毒碼更新,且送達資訊部主要網管人員做
警示。
|
|
| |
|
| |
