Corporate Governance

Information Security and Privacy Management

目的

為有效管理資訊及資訊設備使用安全,特訂立資通安全辦法,作為相關資訊設備使用、網路安全、設備安全及軟體應用安全的管理辦法,本辦法共分三大章節,依性質及管理目的分為「網路安全」、「電腦設備安全」及「應用軟體安全」。

 

資訊安全風險管理架構

本公司資訊安全之權責單位為營運管理處之MIS,該單位設置專業資訊人員,負責訂定公司資訊安全政策、規劃暨執行資訊安全防護與資訊安全政策推動與落實。

 

資通安全政策

  • 本公司全體員工皆須遵循公司之資通安全政策管理規定,以落實資訊安全管理並確保所屬資訊資產之機密性、完整性及可用性,達成企業永續經營之目標。
  • 本公司資通安全政策內容包含: 裝置使用、媒體儲存裝置、存取控制、軟體使用、無線網路、 帳號密碼與金鑰、系統開發和維運、電子郵件與通訊軟體、供應商與人員任用及資訊安全事件的管理政策等。

具體管理方案

一、網路安全管理

為使本公司各級單位充分有效使用網路資源,特訂立此管理辦法。

電腦網路使用與資訊安全管理:

  • 內部網路與外部網路連線入口應建置防火牆,提供威脅防護及有效阻擋駭客非法入侵。
  • 電腦網路使用以網域帳號及密碼控管。
  • 禁止將帳號與密碼交付他人運用,並不得使用他人帳號與密碼登入電腦,離職時由資訊單位將密碼帳號刪除。
  • 禁止利用點對點軟體分享下載資料或將公司內電腦資料夾開放讓外部人員分享使用。
  • 網路使用者應關閉網路資源分享功能,防止資料外流,並不得以任何手段蓄意干擾或妨害網路系統正常運作。
  • 禁止利用網路散播病毒、發表毀謗言論、傳送色情圖片等不當行為。
  • 網路使用者應尊重智慧財產權,使用者避免可能涉及侵權
  • 廠商進行維護時應必要的事前預防及保護措施,以預防及偵測電腦病毒、木馬及邏輯炸彈等惡意軟體之侵入。
  • 伺服器與終端電腦設備安裝防毒軟體,病毒碼需隨時自動更新,有效阻擋最新病毒入侵。
  • 為避免網路使用者不慎違反本公司相關網路安全規定,網路管理人員可考慮以相關網路技術以不干擾正常網路使用為原則下,主動管制違反本公司相關網路規定之使用者。

電子郵件安全管理:

  • 電子郵件伺服器建置郵件防毒、垃圾郵件過濾機制,防堵病毒或垃圾郵件進入終端使用者電腦。
  • 來路不明電子郵件不宜任意開啟,以免啟動駭客惡意執行檔。
  • 敏感性或具保密需求之郵件,應採取適當加密措施。
  • 禁止以匿名信或偽造他人名義發送電子郵件。

二、電腦設備安全

為使本公司各級單位充分有效使用及管理電腦設備,特訂立此管理辦法。

伺服器主機安全管理:

  • 電腦伺服器主機設備應妥善保管,並以帳號密碼控管。
  • 伺服器主機除由系統維護人員基於業務需要執行啟動及操控外,其他人員不得擅自操作。
  • 電腦伺服器專用電源插座,不得使用於電腦以外之設備,以免耗用不斷電系統電源,造成跳電當機,影響電腦正常運作。
  • 電腦伺服器周圍環境不得攜入或存放磁性、放射性、易燃性及易爆性物品,並嚴禁嬉戲、吸菸及飲用食物。
  • 伺服器機房均需有適當門禁管制,除系統操作人員外,其餘進出人員均需登記。
  • 機房內系統建置完整備份機制,重要系統亦建置異地備援機制,確保公司永續經營。
  • 重要系統每年進行一次災難復原演練,確保企業營運不中斷。

個人電腦設備安全管理:

  • 電腦應使用專用電源延長線,避免與其他電器用品共用插座,以免電力無法負荷導致火災等危害安全情事。
  • 個人電腦設備應維持整潔,電腦風扇出口禁止雜物阻擋,並注意通風,以維安全。
  • 使用個人電腦設備應盡善良保管人維護責任,禁止任意拆卸或安裝硬體。
  • 個人電腦於下班或公出時應關機以維設備安全。
  • 個人電腦及其相關設備均需造冊管理,定期盤點,以防人員不符規定的攜出。
  • 同仁由遠端登入公司內網作業,需使用VPN確保登入人員身份正確後方能登入,所有遠端登入建置完整進出紀錄以供稽查。

電腦設備作業系統安全管理:

  • 電腦設備作業系統及相關伺服器軟體應適時適當的更新軟體及進行漏洞修補。
  • 電腦設備作業系統應安裝防毒軟體並定期更新病毒資料庫。

個人資訊安全管理:

  • 敏感性或具保密需求之資料應採檔案加密,存放辦公室固定電腦為主,並注意實體隔離,勿存放於隨身儲存設備中。
  • 若需公務電腦資料攜回家中處理,應先將隨身儲存設備中之敏感性或具保密需求資料刪除,以維安全。
  • 同仁經由網際網路下載檔案或使用隨身碟(USB)應立即進行病毒掃描,確認安全無毒後才可使用。
  • 定期對公司同仁進行資訊安全宣導,提高同仁資安危機意識。

三、應用軟體安全

本措施在於管理本公司應用軟體安全,並做有效應用與管理。

  • 軟體購置與使用,應採用合法授權軟體,同時符合智慧財產權相關法規規定。
  • 一般性應用軟體採購可依需求提出申請,並由資訊單位彙整,經核定後依採購程序辦理,購置後統一由資訊單位納入管理。
  • 購入之軟體應配合資訊財產管理人員統一列冊管理,有關授權證明、原版程式及使用手冊由資訊單位妥善儲存與管理。
  • 列冊管理之軟體依需要提供各單位使用,並應登錄使用者單位、姓名及使用日期等相關資料供管理參考。
  • 採購應用軟體與系統、資料庫及程式開發等應用程式,應注意所有輸入欄位應有字元檢查功能,排除不必要特殊字元,以防止特定資料庫攻擊或其他網路攻擊。