為強化資訊安全管理,確保所屬資訊資產之機密性、完整性與可用性,及提高相關人員資訊安全意識,以提供資訊服務持續運作之環境,並符合相關法規要求,本公司已於民國112年11月經董事會通過成立資訊安全小組,並訂定資訊安全相關辦法。
一、資訊安全管理之目標:
• 強化人員資安意識,企業同仁應參與資通安全相關教育訓練,以提高全公司資通安全意識。
• 恪遵資訊安全措施,各項資通安全管理作業與辦法,應確實遵守,並定期依實際狀況評估及調整
• 避免機敏資料外洩,保護企業機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。
• 落實內部資安稽核,定期執行內部資通安全各項稽核措施,確保各項作業落實執行。
內部重大資訊處理作業程序,詳如附件
和益資訊安全管理計畫,詳如附件
二、資訊安全組織管理架構:
1. 資安組織架構
2. 資訊安全事件通報程序
三、具體管理方法:
1. 網際網路資安管控
• 架設防火牆(Firewall)。
• 定期對電腦系統集資料儲存媒體進行病毒掃描。
• 各項網路服務之使用應依據資訊安全政策執行。
• 定期覆核各項網路服務項目之System Log,追蹤異常之情形。
2. 資料存取管控
• 電腦設備應有專人保管,並設定帳號與密碼。
• 依據職能分別賦予不同存取權限。
• 調離人員取消原有權限。
• 設備報廢前應先將機密性、敏感性資料及版權軟體移除或覆寫。
• 遠端登入管理資訊系統應經適當之核准
3. 應變復原機制
• 定期檢視緊急應變計劃。
• 每年定期演練系統復原。
• 建立系統備份機制,落實異地備份。
• 定期檢討電腦網路安全控制措施。
4. 宣導及檢核
• 隨時宣導資訊安全資訊,提升員工資安意識。
• 禁止使用無版權軟體。
5. 投入資通安全管理之資源
• 資訊安全相關人員每年12小時參與外部訓練課程或研討會
• HiNet 先進網路防禦系統服務
• FortiGate FG101F 硬體防火牆
• Sophos 端點防毒軟體
6. 資訊室每年均定期執行各項資訊安全相關之檢測及評估作業如下:
| 項目 | 作業頻率 |
| 系統災難復原測試 | 每年一次 |
| 系統權限設定檢查 | 每年一次 |
| AD登入密碼定期變更通知 | 每90天一次 |
| 雲端Email密碼定期變更通知 | 每90天一次 |
| 資訊安全宣導 | 每季一次 |
| 機房巡檢 | 每日(國定假日除外) |
| 資料庫備份作業 | 每日(國定假日除外) |
| 資料庫及程式異地備份 | 每週三、五(國定假日除外) |
