本公司資訊安全之權責單位為資訊部,設置專業資訊工程師1名,負責訂定公司資訊安全政策,規劃資訊安全措施,並執行相關之資訊安全作業。
本公司稽核室為資訊安全監理之查核單位,若查核發現缺失,旋即要求受查單位提出相關改善計畫並呈報董事會,且定期追蹤改善成效,以降低內部資安風險。
組織運作模式:資訊課制定公司資安政策及資訊安全作業程序,內部各單位推動執行並加強宣導資安政策及資訊安全作業程序及人員教育訓練,落實資安政策的導入及實施,稽核室進行資安風險查核,如發現缺失,要求受查單位提出相關具體改善作法,且定期追蹤改善成效。
一、資訊安全管理目標
1. 維持各資訊系統持續運作
2. 防止駭客、各種病毒入侵及破壞
3. 防止人為意圖不當及不法使用
4. 防止機敏資料外洩
5. 避免人為疏失意外
6. 維護實體環境安全
二、資訊安全設施與管理方式
1. 實體安全
(1) 本公司應採取適當的門禁管制,以防止對本公司之電子資訊資產不當存取或造成損害,重要的資訊處理設備(主機電腦、網路設備等)應設置於有適切門禁管制之場所或由中控系統管制,避免非公司員工及非經授權人員使用。
(2) 辦公區域及機房應置放適當之消防滅火設備(如手提式滅火器、煙霧偵測器等)。
(3) 個人電腦或伺服器應設定密碼保護,並於電腦暫時無人使用時鎖定電腦。
(4) File Server:不得存放私人或非工作與職務相關的檔案。各單位應隨時過濾File Server上屬於各單位使用的空間是否足夠與存放的檔案是否與工作相關。
(5) 軟硬體配件:資訊單位將不定期稽核並與資產系統核對,若發現異常與不當之使用,將通知所屬中心級以上(含)主管依獎懲辦法處理。
2. 網路安全
(1) 本公司重要之主機、系統與網路設備應設置適切防護機制,以防止本公司之電腦系統遭受不當存取或損害。
(2) 各項資訊設備(系統主機、網路設備…等)安裝、維護時,管理者應全程陪同,且設備密碼不得交予維護廠商,如須輸入密碼,應由管理者輸入後方可交由維護廠商操作。
(3) 使用者不得私自安裝數據機(Modem)、集線器(Hub)、IP分享器及無線網路存取點(Access Point)、交換機(Switch)及路由器(Router)等任何網路相關設備,如有特殊需求應於資訊服務系統填具「電腦軟硬體申請單」提出申請,經權責主管核可後,由資訊單位審核辦理。
(4) 公司之網路資源僅供業務目的使用,不得用以從事下列行為,如有違者,依公司「獎懲辦法」懲處:
A. 侵害他人名譽、隱私權或營業秘密、商標權、著作權、專利權等智慧財產權及其他權利;
B. 於公開性文件中使用煽動或毀謗性文字;
C. 傳輸或散佈電腦病毒;
D. 從事不法交易行為或張貼虛假不實、引人犯罪之訊息;
E. 販賣槍枝、毒品、禁藥、盜版軟體或其他違禁物;
F. 干擾公司電腦系統之運作;
G. 侵害或干擾他人使用電子資源;
H. 用於任何營利性/非營利性組織、產品或服務之宣傳、廣告、行銷或其他商業行為;
I. 其他違反法律或有害公司利益之行為
(5) 公司得針對網路資源安裝監控軟體,以對其是否遭濫用或非法使用進行合理監控。
(6) 非經申請,對於無登入公司網域者/使用公用帳號使用的電腦一律禁止上網際網路。隨時過濾所連結使用的網頁,嚴禁連結色情網站或非工作相關網頁。
3. 電子郵件保密之管制
(1) 為避免公司營運機密透過電子郵件外洩,資訊處得針對進出公司之網路資訊及電子郵件,設置收集、分析、過濾及監控之機制。
(2) 員工電子郵件之收發,必需透過公司之電子郵件系統,禁止員工私自使用其它非公司配發之電子郵件信箱收發信件。
(3) 電子郵件系統之使用,為公務及工作相關事務之傳遞,收件人僅限相關之人員,請勿濫發郵件予非相關人員,以免垃圾郵件增加系統之負載。
4. 病毒及惡意軟體之防護
(1) 本公司之電腦系統均建置防範電腦病毒及惡意軟體之機制,並由系統控管自動更新電腦病毒碼與系統漏洞。
(2) 除本公司所核准並經合法授權之系統及應用軟體外,禁止使用其它軟體,各單位主管應確保所屬之電腦系統是否合於規定並定期清查。
(3) 對來路不明的電子郵件或檔案,應立刻刪除,不宜隨意打開電子郵件。
(4) 使用者如發現電腦病毒入侵或系統異常,應立即通報予資訊單位。
5. 資料備份及災難復原方式
(1) 資訊單位應定期針對公司重要檔案伺服器及資料庫進行資料備份,每日進行備份,保留完整備份資料,完整備份資料保存兩週,備份記錄應歸檔備查。
(2) 備份資料檔案應執行異地備份,以期能在發生資料遺失或毀損時,進行還原動作。
(3) 檔案伺服器災難復原方式依各檔案系統不同另行訂定之
6. 認知宣導及教育訓練
資訊單位應定期對新進員工進行資通安全之認知宣導及教育訓練
110年度辦理資訊安全宣導執行情形:
教育訓練
本年度辦理新進員工資訊安全教育訓練共計29人次參與