投資人專區

資訊安全政策及管理辦法
  • Facebook
  • LINE
  • Twitter
  • LinkedIn

資訊安全政策及管理辦法




資訊安全政策及管理辦法
壹、資訊安全風險管理架構

一、權責
本公司目前配置資訊安全專責主管及一名資訊安全專責人員由管理層主導,進行資訊安全制度之規劃、監控及執行資訊安全管理作業。
  (一) 資訊安全主管:負責擬定及更新此辦法,並確保本辦法確實執行。
  (二) 系統管理員:依循此辦法,實際執行各項資訊安全管理作業之人員。
貳、資訊安全政策

一、目的
為遵循資訊安全相關法令,增進本公司資訊作業安全及穩定之運作,確保資訊資產之機密性、完整性及可用性,並順利推展本公司各項業務,且必須考量安全注意事項,防止公司資訊系統及其資料遭致不當使用、洩漏、竄改、破壞等情事,特訂定此管理辦法以供依循。

二、適用範圍
有關資訊安全政策及管理辦法之事項,除另有規定外,悉依本辦法辦理。

三、資訊安全控制措施目標
為落實資訊安全管理,公司成立資訊安全單位,負責推動、協調及督導下列資訊安全管理事項:
  (一) 資訊安全政策之核定及督導。
  (二) 資訊安全責任之分配及協調。
  (三) 資訊資產保護事項之監督。
  (四) 資訊安全事件之檢討及監督。
  (五) 通訊與操作管理。
  (六) 存取控制。

參、資訊安全具體管理方案及辦法

一、帳號管理
  (一) 新進員工報到,應填寫「電腦帳號密碼申請書」,經權責主管核定後,始各類帳號建立。
  (二) 員工離職帳號停用、刪除,除非另有規定,悉依離職員工之離職單內離職日期作為帳號停用、刪除起始日。
  (三) 資訊系統均設有帳號及密碼登入管理功能,依個別業務安全性功能不同,包括等級、部門等影響其所能接觸資料。
  (四) 密碼原則:字元須大於六個字元、符合複雜度(數字、字母大小寫及符號參雜)。
  (五) 同仁帳號異動應填寫「電腦權限異動申請單」,經權責主管核定後,應依其異動狀況停用或刪除及許可權。

二、網路使用者 禁止事項
  (一) 使用者不允許將自己的登入身分與密碼供他人使用。
  (二) 使用者禁止以任何方法竊取其他合法使用者的登入方法。
  (三) 使用者禁止存取網路上未經許可的檔案或企圖獲得存取的權限。
  (四) 使用者不得持有色情或猥褻檔案,並禁止在網路上散播。
  (五) 使用者禁止發送匿名或偽造電子郵件。
  (六) 使用者禁止以任何手段蓄意干擾或妨害網路系統的正常運作。

三、系統管理員 規定辦法
  (一) 系統管理員應負責資訊安全政策及管理辦法之執行,及網管工具系統設定與操作,以確保各單位內部系統主機與資料的安全與完整。
  (二) 系統管理員未經許可禁止閱覽使用者私人檔案。
  (三) 系統管理員未經使用者同意,不可增加 、刪除、修改私人檔案。如有特殊緊急狀況,必須刪除私人檔案,則須先知會檔案擁有者。(電子郵件是可以接受的知會管道之一)
  (四) 對任何安全違例事件,系統管理員應立即向資訊安全主管反應。

四、資料存取
  (一) 檔案資料庫依據權責劃分,規範部門、人員訂給予存取權限,無權限者不得存取檔案資料庫內容,權限須與職務之權限相配合。
  (二) 資料依重要性區分,設定不同的保存或銷毀期限,除另有規定外,保存期限至少為五年以上。
  (三) 使用單位經由系統所取得之機密性資料均應嚴加控管,限制傳閱、影印、複製、攝影、轉出或以其他方式記錄。
  (四) 系統資料權限異動、修改、資料轉出,應填寫「電腦權限異動申請單」,經權責主管核定後始得辦理。

五、網路安全管理
  (一) 網路應安裝監控系統,監控通訊線路、通訊協定、資料流量、資料內容及使用物件,由資訊部門指定專人辦理。
  (二) 重要伺服器均應裝置於公司受到保護的網路內,內、外網路需安裝安全防護設備防火牆區隔,並依業務所需設定安全存取權限。
  (三) 防火牆安全權限之異動申請,經資訊部門核定後,由專責人員修改,並記錄異動歷程。
  (四) 資訊部門應定期檢討防火牆安全權限及電腦網路安全事項,並應建立網路入侵偵測系統,以有效偵測惡意人侵事件。
  (五) 防火牆系統軟體,應定期更新版本,以因應各種網路攻擊。
  (六) 應用系統應定期審查系統或資料存取狀況,並檢驗是否有資訊被揭露之弱點存在,並應評估相關可能帶來之風險。

六、備份管理作業
  (一) 為確保公司資訊系統之資料完整與正確,應設有三層備份資料保護機制,確保災害發生時,能依據不同等級的損害進行資訊資料的重建工作。
     1.本機資料備份:存放於運行中的主機上。
     2.異機資料備份:存放於同機房的其他主機上。
     3.異地資料備份:存放於異地機房。
  (二) 資訊部門應依業務及重要性設定系統完整之備份計畫,並詳細記錄主機名稱、日期、內容、狀態、保存位置及操作人員於「電腦備份資料紀錄表」。
  (三) 備份軟體須確保備份資料的完整性及安全性。
  (四) 資訊部門應定期演練備援作業程序,以便發生災害或儲存媒體失效時,可迅速回復正常作業。

七、資訊系統可用性管理
  (一) 監控機制:須設有監控平台,可隨時監看當下系統妥善狀態。
  (二) 伺服器備份計畫:伺服器備份計畫依「伺服器備份計畫表」相關規定辦理。
  (三) 災害復原:依「電腦系統復原緊急應變計畫」相關規定辦理。

八、病毒防治
  (一) 公司所有伺服器主機、個人電腦、筆記型電腦均應安裝規定之防毒軟體。
  (二) 使用防毒軟體,應依下列原則辦理:
     1.定期更新版本及病毒碼。
     2.定期或即時掃描電腦系統及資料儲存媒體。
     3.使用之防毒軟體由資訊部門審核後,方可使用。
     4.對來路不明及內容不確定的資訊媒體,應在使用前詳加檢查是否感染電腦病毒。
     5.定期將必要的資料及軟體予以備份。
  (三) 電腦設備如遭病毒感染,應立即斷線(拔除網路線、中斷無線網路等連結),並通知資訊人員處理,直到確認病毒已消除後,方可重新連線。

九、個人資料保護
資訊系統之運作功能及資料存取應符合個人資料保護規範,依據「個人資料保護作業要點」相關規定辦理。

十、實體及環境安全管理
資訊中心及機房之安全管理,依「資訊機房管理辦法」相關規定辦理。

十一、資訊安全權責與教育訓練
  (一) 依角色及職能為基礎,針對不同層級人員,視實際需要辦理資訊安全教育訓練及宣導,促使員工瞭解資訊安全的重要性,各種可能的安全風險,以提高員工資訊安全意識,促其遵守資訊安全規定。
  (二) 不定期以郵件宣導公司同仁,宣導使用者設定及操作作業系統之安全機制,目前可能流行的網路病毒、木馬、後門、蠕蟲等,及常見釣魚手段,增加使用者防護知識,以防止同仁被騙取密碼造成公司損害。
  (三) 非資訊處理人員,機房未經核准不得隨意進入,依「資訊機房管理辦法」相關規定辦理。

十二、資安遵守
  (一) 資訊部門應制定系統使用規範,並防止內、外非相關人員取得機密資訊或影響系統正常運作;同仁不得利用系統進行非正常或未經許可之作業,以獲取不當之資訊或利益。
  (二) 同仁應遵守公司資訊安全之相關政策,違者按情節輕重依「員工手冊」相關規定予以處分。
  (三) 同仁應遵守業務機密之相關法令規定,在職及離退職後均不得洩漏所知悉之資訊機密,或為不當之使用,違者按情節輕重依「員工手冊」相關規定予以處分,必要時並得追究相關法律責任。

肆、委外辦理資訊安全管理應注意事項
委外設備維護的原則如下:
委外辦理資訊服務之需求,應考量受託者之專業能力與經驗、委外項目之性質及資訊安全需求,選任適當之受託者,並監督其資訊安全維護情形。
  (一) 重要資訊設備應與專業資訊廠商簽訂維護契約,定期進行設備維護。
  (二) 設備的維護只能由授權的維護人員執行,且需有系統管理員陪同。
  (三) 應明確記錄有關之錯誤或警告之訊息。

為避免駭客透過資訊安全防護能量不足之處對本公司進行攻擊,對於委外廠商進行下列要求管理
  (一) 應與廠商簽訂保密協議。
  (二) 依據專案類型,廠商的資格須具備相關專業委外維護服務之能力與諮詢服務,且相關人員應熟知政府資訊安全之規定。
  (三) 原則上禁止廠商遠端連線管理伺服器,如有遠端管理需求,應以 VPN 連線,一人一帳號且採取多因子認證,並降低重要主機可能攻擊範圍。
  (四) 廠商帳號密碼應定期盤點,並以最小權限與最低開放時間為原則,如已無使用需求或人員異動,均應刪除。
  (五) 廠商連線與登入之相關紀錄應納入監控,有異常行為應停用帳號並進行調查。
  (六) 應定期確認廠商相關資訊安全工作報告,如有缺失應追蹤管考。
  (七) 廠商所提供之軟硬體及應用系統,均應規範資訊安全需求與資安檢測基準,應持續進行弱掃與修補,並納入驗收與定期維運之必要條件。
  (八) 廠商維護契約終止,應刪除廠商之帳號,並關閉廠商之所有連線。

伍、資訊安全管理投入資源
  (一) 網路設備建置。
  (二) 防毒軟體。

陸、附件使用表單
  (一) 電腦帳號密碼申請書
  (二) 電腦權限異動申請單
  (三) 電腦備份資料紀錄表
  (四) 災害復原演練紀錄表

本辦法經董事會通過後實施,修正時亦同。
本辦法訂立於中華民國九十七年十月十四日。
第一次修訂於中華民國一零一年五月十二日。
第二次修訂於中華民國一一二年十二月十五日。
與我們聯絡