資訊安全政策及管理方案
壹、資訊安全風險管理架構:

    一、本公司資訊安全之權責單位為資訊部,設置資訊主管乙名,與專業資訊人員數名,負責訂定內部所有資訊管理辦法暨相關作業,作為推行各項資訊活動、落實各種資訊循環,以及貫徹資訊安全機制的作為。

    二、資訊部依照資訊相關管理辦法,進行所有資訊服務,並藉由定期內部會議,檢討作業相關的循環及程序,有無疏漏或強化的空間,以優化資訊管理的各項流程,達成降低資訊安全風險的目的。

    三、稽核室每年依照內控制度"電腦資訊系統循環",進行內部查核作業,確保公司資訊作業內部控制之有效。

貳、資訊安全政策:

為保障公司、員工與客戶的權益,強化公司整體資訊安全管理,並提供符合客戶高品質之服務,為此建立可信賴的資訊安全作業環境,以確保資訊、資料、系統、設備及網路的安全,特訂定本政策。

    一、目標:

      1.推動資訊安全管理及實施各項資訊安全措施。

      2.透過資訊安全管理,保障公司及客戶的各項權益。

      3.確保資訊使用範圍內,所有項目之完整性、可用性及機密性。

      4.貫徹上述目標,業務永續經營。

    二、範圍:

      本政策適用於本公司全體人員、業務往來單位、委外服務廠商、訪客及使用本公司資訊服務之使用者等。

    三、管理原則:

      1.帳戶與權限管理資訊
      所有主機、系統、資料庫、等相關資訊設備與系統均設密碼管制,同仁應善盡帳密碼保管與使用的責任。

      2.定期備份與有效還原
      資訊系統與資料庫每日備份,並訂定備份永續營運計劃,且定期演練復原及計畫更新。

      3.個人電腦安全
      同仁之個人電腦全面安裝防毒軟體且定期更新病毒碼與系統漏洞更新,並禁止安裝未經授權之非法軟體。

      4.杜絕不法入侵
      遵守資訊品攜出入規定、嚴禁同仁私帶設備串接外部網路或公司內部網路。

      5.風險持續改善
      資訊安全定期進行風險評估,並落實各項資安措施,提升作業安全。

      6.深耕資安觀念
      不定期宣導資安新知,提昇資安防護認知,並養成資安防護習慣。

    四、責任:

      員工應遵守相關政策規定並維護公司機密,在職及離、退職後,均不得洩漏所知悉之業務機密,任何違反資訊安全之行為人,視情節輕重追究其民事、刑事及行政責任。

    五、實施與修正:

      本政策經董事長核定後實施,修正時亦同。

參、具體管理方案:

本公司目前管理方式已能有效防護資訊安全,具體管理措施如下表:

網際網路資安管控 資料存取管控 應變復原機制 宣導及檢核
  • 架設防火牆(Firewall)
  • 定期對電腦系統及資料儲存媒體進行病毒掃瞄
  • 定期對電腦系統進行系統更新作業
  • 各項網路服務之使用應依據資訊安全政策執行
  • 定期覆核各項網路服務項目之System Log,追蹤異常之情形
  • 資訊系統及設備皆有專人保管,並設定帳號及密碼
  • 依據職能分別賦予不同存取權限
  • 各系統之權限申請異動,由權責人核可後生效,並保留記錄。
  • 系統使用及操作保有使用軌跡記錄
  • 設備報廢前先將機密性、敏感性資料及版權軟體移除或覆寫
  • 定期檢視緊急應變計劃
  • 每年定期演練系統復原
  • 建立系統完整的備份機制,並落實異地備份
  • 定期檢討電腦網路安全控制項目的異常狀況並予與修正
  • 隨時宣導資訊安全資訊,提升員工資安意識
  • 稽核單位每年定期執行"資訊循環"檢查,確保管制程序之有效性,呈報董事長
肆、資通安全管理資源:

    一、設置資安管理管制人員,進行資安相關系統之維運,並執行各項資訊系統的安全優化評估及導入作業。
    二、針對客戶特殊之資訊安全稽核要求,進行必要的資安優化投資項目。

伍、執行狀況:

    一、本公司目前無重大資安事件導致營業損害之情事。
    二、持續落實資訊安全管理政策目標,並定期實施復原計劃演練,保護公司重要系統與資料安全。