資訊安全管理組織
本公司資訊安全之專責單位為資訊室,設置資訊安全專責主管及資訊安全專責人員各1名,負責訂定公司資訊安全政策,規劃資訊安全措施,執行相關之資訊安全作業, 並定期向董事會報告資通安全執行情形。
資通安全政策
一、資訊安全管理目標
1. 維持各資訊系統持續運作
2. 防止駭客、各種病毒入侵及破壞
3. 防止人為意圖不當及不法使用
4. 防止機敏資料外洩
5. 避免人為疏失意外
6. 維護實體環境安全
二、企業資訊安全風險管理與持續改善架構
三、具體管理方案
四、投入資通安全管理之資源
1.防火牆、防毒軟體、網路設備及應用系統年度維護合約
2.資訊安全專責主管及專責人員各1名
3.備份軟體、異地備援
4.新進員工資通安全教育訓練
5.資安公告及社交工程演練
6. 加入中華民國資訊軟體協會-資安長聯誼會及科學園區資安資訊分享與分析中心等聯防組織共享資源及情報分享
五、資訊安全設施與管理方式
1. 實體安全
(1) 本公司應採取適當的門禁管制,以防止對本公司之電子資訊資產不當存取或造成損害,重要的資訊處理設備(主機電腦、網路設備等)應設置於有適切門禁管制之場所或由中控系統管制,避免非公司員工及非經授權人員使用。
(2) 辦公區域及機房應置放適當之消防滅火設備(如手提式滅火器、煙霧偵測器等)。
(3) 個人電腦或伺服器應設定密碼保護,並於電腦暫時無人使用時鎖定電腦。
(4) File Server:不得存放私人或非工作與職務相關的檔案。各單位應隨時過濾File Server上屬於各單位使用的空間是否足夠與存放的檔案是否與工作相關。
(5) 軟硬體配件:資訊單位將不定期稽核並與資產系統核對,若發現異常與不當之使用,將通知所屬中心級以上(含)主管依獎懲辦法處理。
2. 網路安全
(1) 本公司重要之主機、系統與網路設備應設置適切防護機制,以防止本公司之電腦系統遭受不當存取或損害。
(2) 各項資訊設備(系統主機、網路設備…等)安裝、維護時,管理者應全程陪同,且設備密碼不得交予維護廠商,如須輸入密碼,應由管理者輸入後方可交由維護廠商操作。
(3) 使用者不得私自安裝數據機(Modem)、集線器(Hub)、IP分享器及無線網路存取點(Access Point)、交換機(Switch)及路由器(Router)等任何網路相關設備,如有特殊需求應於資訊服務系統填具「電腦軟硬體申請單」提出申請,經權責主管核可後,由資訊單位審核辦理。
(4) 公司之網路資源僅供業務目的使用,不得用以從事下列行為,如有違者,依公司「獎懲辦法」懲處:
A. 侵害他人名譽、隱私權或營業秘密、商標權、著作權、專利權等智慧財產權及其他權利;
B. 於公開性文件中使用煽動或毀謗性文字;
C. 傳輸或散佈電腦病毒;
D. 從事不法交易行為或張貼虛假不實、引人犯罪之訊息;
E. 販賣槍枝、毒品、禁藥、盜版軟體或其他違禁物;
F. 干擾公司電腦系統之運作;
G. 侵害或干擾他人使用電子資源;
H. 用於任何營利性/非營利性組織、產品或服務之宣傳、廣告、行銷或其他商業行為;
I. 其他違反法律或有害公司利益之行為
(5) 公司得針對網路資源安裝監控軟體,以對其是否遭濫用或非法使用進行合理監控。
(6) 非經申請,對於無登入公司網域者/使用公用帳號使用的電腦一律禁止上網際網路。隨時過濾所連結使用的網頁,嚴禁連結色情網站或非工作相關網頁。
3. 電子郵件保密之管制
(1) 為避免公司營運機密透過電子郵件外洩,資訊處得針對進出公司之網路資訊及電子郵件,設置收集、分析、過濾及監控之機制。
(2) 員工電子郵件之收發,必需透過公司之電子郵件系統,禁止員工私自使用其它非公司配發之電子郵件信箱收發信件。
(3) 電子郵件系統之使用,為公務及工作相關事務之傳遞,收件人僅限相關之人員,請勿濫發郵件予非相關人員,以免垃圾郵件增加系統之負載。
4. 病毒及惡意軟體之防護
(1) 本公司之電腦系統均建置防範電腦病毒及惡意軟體之機制,並由系統控管自動更新電腦病毒碼與系統漏洞。
(2) 除本公司所核准並經合法授權之系統及應用軟體外,禁止使用其它軟體,各單位主管應確保所屬之電腦系統是否合於規定並定期清查。
(3) 對來路不明的電子郵件或檔案,應立刻刪除,不宜隨意打開電子郵件。
(4) 使用者如發現電腦病毒入侵或系統異常,應立即通報予資訊單位。
5. 資料備份及災難復原方式
(1) 資訊單位應定期針對公司重要檔案伺服器及資料庫進行資料備份,每日進行備份,保留完整備份資料,完整備份資料保存兩週,備份記錄應歸檔備查。
(2) 備份資料檔案應執行異地備份,以期能在發生資料遺失或毀損時,進行還原動作。
(3) 檔案伺服器災難復原方式依各檔案系統不同另行訂定。
6. 認知宣導及教育訓練
資訊單位應定期對新進員工進行資通安全之認知宣導及教育訓練
六、112年資訊安全措施執行成果
項目 | 成果 |
1.教育訓練 | 112年度已辦理新進員工資訊安全教育訓練共計6梯次42人次參與。 |
2.定期向董事會報告 | 業於112年3月17日定期向董事會進行資通安全執行情形報告。 |
3.資安演練 | 112年8-11月執行社交工程演練計畫,並針對演練過程中資安風險意識薄弱之員工於112年11月7日進行再教育訓練計18人次。 |
4.資安宣導/公告 |
112年12月7日主管營活動進行主管級人員半小時資安宣導計31人次。 112年8月22日及112年11月29日兩次透過公司郵件進行全體員工資安宣導公告。 |
5.重大資安事件 | 本公司112年度截至目前止尚未發生重大資安事件,亦無資安事件造成的財務損失、營運影響等情事發生。 |