​資通安全管理

[資通安全風險管理架構]

• 本公司成立資訊安全組專案組織，並指派資安長，負責統籌資訊安全政策擬定及施行，並由資訊安全組內各專案成員進行資安管制措施，宣導資訊安全訊息，提升員工資安意識，蒐集及改進資訊安全管理系統。

• 由稽核室每年就內部控制制度，進行資訊安全查核，評估公司資訊作業內部控制之有效性。

 

[資通安全政策]

• 為落實資安管理，公司訂有內部控制制度及資訊管理作業程序，藉由全體員工共同努力期望達成下列政策目標：

• 確保資訊資產之機密性、完整性。

• 確保依據部門職能規範資料存取。

• 確保資訊系統之持續運作。

• 防止未經授權修改或使用資料與系統。

• 定期執行資安稽核作業，確保資訊安全落實執行。

 

故訂定本公司資訊安全方針及政策

• 方針：以符合國家資通安全法律規定，客戶營業保密要求，企業資安維運順暢做法，維護營運資通訊安全為方向，以達成各項資訊保全手段

• 政策 ：  (一)軟硬系統，集中管制 (二) 應用系統，帳登防駭 (三) 資安保密，前制後跡 (四) 營業秘密，全面戒備

 

[具體管理方案]

電腦設備安全管理

• 電腦主機及備份硬碟放置於機房由資訊單位指定人員負責管理。

• 機房內部備有獨立空調，維持電腦設備於適當的溫度環境下運轉。 

• 機房配置不斷電與穩壓設備，避免意外瞬間斷電造成系統當機，或確保臨時停電時不會中斷電腦應用系統的運作。

網路安全管理 

•  本公司以防火牆設備區隔內外網路；全球集中應用主機於總部實體機房，不採行任何主機雲端服務。

• 建置企業虛擬私有網路VPN設備，員工由遠端登入公司內網存取資訊系統，必須申請VPN帳號，透過VPN的安全方式始能登入使用，且均留有使用紀錄可稽查。

• 本公司郵件系統可設定外寄前關鍵字稽核，並備有郵件保存系統，事後任何寄收動作皆全面有軌跡紀錄。針對特定郵件主機攻擊可能性，採用郵件系統提供特別參數限制超過時之自動關閉服務或自動列入封鎖IP地址，以維護使用者郵件安全。

• 配置上網行為管理與過濾設備，控管網際網路的存取，可屏蔽訪問有害或政策不允許的網路位址與內容，強化網路安全並防止頻寬資源被不當占用。

病毒防護與管理

• 每部電腦均安裝防毒軟體，並設定定期更新，軟體自動監視。

• 電子郵件伺服器配置有郵件防毒、與垃圾郵件過濾機制，防堵病毒或垃圾郵件進入使用者端的電腦。

系統存取控制

• 員工對各應用系統的使用，透過公司內部規定的系統權限申請程序，經權責主管核准後，由資訊部建立系統帳號，並經各系統管理員依所申請的功能權限做授權方得存取。

• 帳號的密碼設置，規定適當的強度、字數，並且必須文數字、特殊符號混雜，才能通過。

• 同仁辦理離職手續時，資訊部依人資離職通知，進行各系統帳號的刪除作業。

確保系統之持續運作

• 系統備份：建置備份系統，採取每日備份機制，異地電腦機房保存一份磁帶備份資料，以確保系統與資料的安全。

• 災害復原演練：每年實施一次演練，確保備份媒體的正確性與有效性。

• 租用電信公司多條數據線路，透過頻寬管理設備，線路並聯互為備援使用，確保網路通訊不中斷。

資安宣導與教育訓練

• 資安宣導：資訊部不定期提供資訊安全相關訊息進行宣導。

• 教育訓練：每年定期安排資安教育訓練。

 

[投入資通安全管理之資源]

• 建立資訊系統安全防護網，包含機房、網路設備、網路連線及個人資訊設備管理，以落實員工個人資料、公司機密資料、客戶及供應商等資料保護。

• 每年辦理資訊安全教育訓練，並不定期針對各項資訊安全認知進行公告及宣導，透過不斷的培訓及宣導，提升員工資安意識。

• 投入人力如：每日各系統狀態檢查、每週確認備份執行狀況、每年系統災難復原執行演練、每年對資訊循環之內部稽核、會計師稽核等。