Corporate Governance
- Financials
- Shareholders Services
- Corporate Governance
- FAQ
Information Security and Privacy Management
目的
為有效管理資訊及資訊設(shè)備使用安全,特訂立資通安全辦法,作為相關(guān)資訊設(shè)備使用、網(wǎng)路安全、設(shè)備安全及軟體應(yīng)用安全的管理辦法,本辦法共分三大章節(jié),依性質(zhì)及管理目的分為「網(wǎng)路安全」、「電腦設(shè)備安全」及「應(yīng)用軟體安全」。
資訊安全風(fēng)險(xiǎn)管理架構(gòu)
本公司資訊安全之權(quán)責(zé)單位為營(yíng)運(yùn)管理處之MIS,該單位設(shè)置專業(yè)資訊人員,負(fù)責(zé)訂定公司資訊安全政策、規(guī)劃暨執(zhí)行資訊安全防護(hù)與資訊安全政策推動(dòng)與落實(shí)。
資通安全政策
- 本公司全體員工皆須遵循公司之資通安全政策管理規(guī)定,以落實(shí)資訊安全管理並確保所屬資訊資產(chǎn)之機(jī)密性、完整性及可用性,達(dá)成企業(yè)永續(xù)經(jīng)營(yíng)之目標(biāo)。
- 本公司資通安全政策內(nèi)容包含: 裝置使用、媒體儲(chǔ)存裝置、存取控制、軟體使用、無線網(wǎng)路、 帳號(hào)密碼與金鑰、系統(tǒng)開發(fā)和維運(yùn)、電子郵件與通訊軟體、供應(yīng)商與人員任用及資訊安全事件的管理政策等。
具體管理方案
一、網(wǎng)路安全管理
為使本公司各級(jí)單位充分有效使用網(wǎng)路資源,特訂立此管理辦法。
電腦網(wǎng)路使用與資訊安全管理:
- 內(nèi)部網(wǎng)路與外部網(wǎng)路連線入口應(yīng)建置防火牆,提供威脅防護(hù)及有效阻擋駭客非法入侵。
- 電腦網(wǎng)路使用以網(wǎng)域帳號(hào)及密碼控管。
- 禁止將帳號(hào)與密碼交付他人運(yùn)用,並不得使用他人帳號(hào)與密碼登入電腦,離職時(shí)由資訊單位將密碼帳號(hào)刪除。
- 禁止利用點(diǎn)對(duì)點(diǎn)軟體分享下載資料或?qū)⒐緝?nèi)電腦資料夾開放讓外部人員分享使用。
- 網(wǎng)路使用者應(yīng)關(guān)閉網(wǎng)路資源分享功能,防止資料外流,並不得以任何手段蓄意干擾或妨害網(wǎng)路系統(tǒng)正常運(yùn)作。
- 禁止利用網(wǎng)路散播病毒、發(fā)表毀謗言論、傳送色情圖片等不當(dāng)行為。
- 網(wǎng)路使用者應(yīng)尊重智慧財(cái)產(chǎn)權(quán),使用者避免可能涉及侵權(quán)
- 廠商進(jìn)行維護(hù)時(shí)應(yīng)必要的事前預(yù)防及保護(hù)措施,以預(yù)防及偵測(cè)電腦病毒、木馬及邏輯炸彈等惡意軟體之侵入。
- 伺服器與終端電腦設(shè)備安裝防毒軟體,病毒碼需隨時(shí)自動(dòng)更新,有效阻擋最新病毒入侵。
- 為避免網(wǎng)路使用者不慎違反本公司相關(guān)網(wǎng)路安全規(guī)定,網(wǎng)路管理人員可考慮以相關(guān)網(wǎng)路技術(shù)以不干擾正常網(wǎng)路使用為原則下,主動(dòng)管制違反本公司相關(guān)網(wǎng)路規(guī)定之使用者。
電子郵件安全管理:
- 電子郵件伺服器建置郵件防毒、垃圾郵件過濾機(jī)制,防堵病毒或垃圾郵件進(jìn)入終端使用者電腦。
- 來路不明電子郵件不宜任意開啟,以免啟動(dòng)駭客惡意執(zhí)行檔。
- 敏感性或具保密需求之郵件,應(yīng)採(cǎi)取適當(dāng)加密措施。
- 禁止以匿名信或偽造他人名義發(fā)送電子郵件。
二、電腦設(shè)備安全
為使本公司各級(jí)單位充分有效使用及管理電腦設(shè)備,特訂立此管理辦法。
伺服器主機(jī)安全管理:
- 電腦伺服器主機(jī)設(shè)備應(yīng)妥善保管,並以帳號(hào)密碼控管。
- 伺服器主機(jī)除由系統(tǒng)維護(hù)人員基於業(yè)務(wù)需要執(zhí)行啟動(dòng)及操控外,其他人員不得擅自操作。
- 電腦伺服器專用電源插座,不得使用於電腦以外之設(shè)備,以免耗用不斷電系統(tǒng)電源,造成跳電當(dāng)機(jī),影響電腦正常運(yùn)作。
- 電腦伺服器周圍環(huán)境不得攜入或存放磁性、放射性、易燃性及易爆性物品,並嚴(yán)禁嬉戲、吸菸及飲用食物。
- 伺服器機(jī)房均需有適當(dāng)門禁管制,除系統(tǒng)操作人員外,其餘進(jìn)出人員均需登記。
- 機(jī)房?jī)?nèi)系統(tǒng)建置完整備份機(jī)制,重要系統(tǒng)亦建置異地備援機(jī)制,確保公司永續(xù)經(jīng)營(yíng)。
- 重要系統(tǒng)每年進(jìn)行一次災(zāi)難復(fù)原演練,確保企業(yè)營(yíng)運(yùn)不中斷。
個(gè)人電腦設(shè)備安全管理:
- 電腦應(yīng)使用專用電源延長(zhǎng)線,避免與其他電器用品共用插座,以免電力無法負(fù)荷導(dǎo)致火災(zāi)等危害安全情事。
- 個(gè)人電腦設(shè)備應(yīng)維持整潔,電腦風(fēng)扇出口禁止雜物阻擋,並注意通風(fēng),以維安全。
- 使用個(gè)人電腦設(shè)備應(yīng)盡善良保管人維護(hù)責(zé)任,禁止任意拆卸或安裝硬體。
- 個(gè)人電腦於下班或公出時(shí)應(yīng)關(guān)機(jī)以維設(shè)備安全。
- 個(gè)人電腦及其相關(guān)設(shè)備均需造冊(cè)管理,定期盤點(diǎn),以防人員不符規(guī)定的攜出。
- 同仁由遠(yuǎn)端登入公司內(nèi)網(wǎng)作業(yè),需使用VPN確保登入人員身份正確後方能登入,所有遠(yuǎn)端登入建置完整進(jìn)出紀(jì)錄以供稽查。
電腦設(shè)備作業(yè)系統(tǒng)安全管理:
- 電腦設(shè)備作業(yè)系統(tǒng)及相關(guān)伺服器軟體應(yīng)適時(shí)適當(dāng)?shù)母萝涹w及進(jìn)行漏洞修補(bǔ)。
- 電腦設(shè)備作業(yè)系統(tǒng)應(yīng)安裝防毒軟體並定期更新病毒資料庫(kù)。
個(gè)人資訊安全管理:
- 敏感性或具保密需求之資料應(yīng)採(cǎi)檔案加密,存放辦公室固定電腦為主,並注意實(shí)體隔離,勿存放於隨身儲(chǔ)存設(shè)備中。
- 若需公務(wù)電腦資料攜回家中處理,應(yīng)先將隨身儲(chǔ)存設(shè)備中之敏感性或具保密需求資料刪除,以維安全。
- 同仁經(jīng)由網(wǎng)際網(wǎng)路下載檔案或使用隨身碟(USB)應(yīng)立即進(jìn)行病毒掃描,確認(rèn)安全無毒後才可使用。
- 定期對(duì)公司同仁進(jìn)行資訊安全宣導(dǎo),提高同仁資安危機(jī)意識(shí)。
三、應(yīng)用軟體安全
本措施在於管理本公司應(yīng)用軟體安全,並做有效應(yīng)用與管理。
- 軟體購(gòu)置與使用,應(yīng)採(cǎi)用合法授權(quán)軟體,同時(shí)符合智慧財(cái)產(chǎn)權(quán)相關(guān)法規(guī)規(guī)定。
- 一般性應(yīng)用軟體採(cǎi)購(gòu)可依需求提出申請(qǐng),並由資訊單位彙整,經(jīng)核定後依採(cǎi)購(gòu)程序辦理,購(gòu)置後統(tǒng)一由資訊單位納入管理。
- 購(gòu)入之軟體應(yīng)配合資訊財(cái)產(chǎn)管理人員統(tǒng)一列冊(cè)管理,有關(guān)授權(quán)證明、原版程式及使用手冊(cè)由資訊單位妥善儲(chǔ)存與管理。
- 列冊(cè)管理之軟體依需要提供各單位使用,並應(yīng)登錄使用者單位、姓名及使用日期等相關(guān)資料供管理參考。
- 採(cǎi)購(gòu)應(yīng)用軟體與系統(tǒng)、資料庫(kù)及程式開發(fā)等應(yīng)用程式,應(yīng)注意所有輸入欄位應(yīng)有字元檢查功能,排除不必要特殊字元,以防止特定資料庫(kù)攻擊或其他網(wǎng)路攻擊。