資訊安全政策

資訊安全管理辦法
壹、資訊安全規範概要
  1. 前言:為確保本公司有關資料、資訊系統、資訊相關設備及網路之安 全,特訂定本辦法,作為本公司管理之準則。
  2. 範圍:本規範管理之範圍包括人員、應用系統、硬體設備及網路設施等四部分。
貳、人員管理及教育訓練

為使人員能達成工作所需的要求及提高對於資訊資產保護意識擬:

  1. 新進人員增加「資訊安全政策認知課程」。
  2. 擬定電腦使用部門人員年度資訊安全教育訓練計畫。
參、電腦系統安全管理
  1. 資訊安全事件之管理

    (一)訂定下列資訊安全事件之處理程序

    1. 資訊電腦緊急應變計畫。
    2. 災難復原計畫
    3. 系統異常報告

    (二)資訊安全責任之分散

    1. 對關鍵性的資訊工作項目,應將資訊安全管理及執行的責任儘可能分散,分別賦與相關人員必要之責任。
    2. 下列工作項目作業需要與執行人力資源狀況,儘可能授權分由不同的人員執行:
      1. 應用系統之使用。
      2. 資料建檔。
      3. 電腦作業。
      4. 網路管理。
      5. 系統行政管理。
      6. 系統發展及維護。
      7. 變更管理。
      8. 安全管理。

    (三)資訊作業委外服務之安全管理

    1. 資訊作業委外時,應於事前評估潛在風險(如帳號或密碼遭破解、系統被破壞或資料被竊取等),與業者簽訂適當的資訊安全協定,賦與相關的安全管理責任,並納入契約條款。
    2. 資訊委外服務契約應註明事項如下:
      1. 業者應遵守的資訊保密協議書。
      2. 業者處理及通報事件的責任及程序。
      3. 業者應配合事項。
  2. 電腦病毒及惡意軟體之防範

    (一)電腦病毒及惡意軟體之控制

    本公司伺服器及個人電腦應採行必要的事前預防及保護措施,防制及偵測電腦病毒及惡意軟體等的侵入;促使員工正確認知電腦病毒的威脅,提升員工的資訊安全警覺,健全系統之存取控制機制。

    (二)電腦病毒防範應考量的重要原則

    1. 各單位及使用者應遵守軟體授權規定,禁止使用未取得授權的軟體。
    2. 不定期公告重大危害病毒將發作之日期、相關資訊。
    3. 使用電腦病毒防制軟體,應依下列原則:
      1. 電腦病毒防治軟體及病毒碼應每日更新版本。
      2. 應提供即時掃描電腦系統及資料儲存媒體功能。
      3. 使用可掃除電腦病毒及回復系統功能的解毒軟體。
  3. 軟體版權之控管

    (一)本公司有關軟體之使用,應遵守相關法令及契約規定。

    (二)軟體版權管理應考量下列事項:

    1. 禁止員工保有或使用未取得授權的軟體。
    2. 禁止員工在未取得授權同意前,將軟體安裝到電腦設備上。
    3. 須在原授權許可之外的電腦設備上使用軟體時,應取得正式的授權或另行採購。
    4. 應不定期稽核軟體使用情形。
  4. 日常作業之安全管理

    (一)應定期執行必要的資料及軟體備份,以便發生災害或是儲存媒體失效時,可迅速回復正常作業。

    (二)系統發生錯誤時,應迅速報告權責主管人員,並採取必要的更正行動。

  5. 電腦媒體之管理

    (一)內含機密性或敏感性資料的媒體報廢時,應由專人以安全的方式處理,例如:燒毀、以碎紙機處理,或將資料從媒體中完全清除。

    (二)電腦媒體報廢時之流程如下:

    1. 使用單位填寫「資訊需求申請單」勾選其他欄,於目的欄填寫報費原由及欲報廢之產品,由權責單位負責人員協助判斷。
    2. 權責單位專責人員親臨現場並了解問題癥結或是接收需報廢資訊媒體。
肆、網路安全管理
  1. 引進具網路監控能力的防火牆(Fire Wall),以控管外界與本公司內部 網路之間的資料傳輸與資源存取:
    1. 各單位如需變更防火牆政策時,需填具資訊需求單提出申請,經權 責單位確認其需求之必要性,才可進行防火牆變更之作業。
    2. 經權責單位評估並由主管核准後,進行防火牆政策變更之程序,並將變更日期註記於「資訊需求申請單」中。
  2. 得委任網路安全專家診斷本公司網路運作環境之安全性漏洞。
  3. 利用公眾網路傳送敏感性資訊,得採取資料加密之保護措施如VPN連線之管理方式。
  4. 本公司員工之使用者帳號由管理部專責人員負責建立;新進人員於報到時填寫申請表格,並交由資訊部人員處理;人員離職時,系統人員應於離職生效日起,撤銷其使用者帳號。
  5. 非經總經理以上主管許可,網路系統管理人員不得私自閱覽他人之檔案或資料。
  6. 除經審核發給之隨身碟、光碟機、燒錄機或經權責主管同意外,禁止將電腦私自外接隨身碟、光碟機、燒錄機、數據機等具有儲存、複製、通訊功能之週邊設備,以保障公司智慧產權。
  7. 未經允許,不得使用他人或未經授權之電腦。離開電腦十分鐘以上時間,電腦啟動螢幕保護程式。
  8. 未經管理單位授權,不得擅自搬移資訊設備,人員離職或到任,由管理單位保管資訊設備之轉入或轉出。
  9. 禁止安裝使用未授權軟體,若在工作上確有使用需要,應循正常請購程序,經權責單位會簽後彙整購置。
  10. 禁止將色情檔案建置在本公司網路,亦不得在網路上散播不法、不當或違反善良風俗習慣的資料。
  11. 禁止利用本公司網路從事不法、不當得利之情事。
  12. 禁止下載、放置或傳遞與工作內容無相關的檔案資料,如電動玩具程式與音樂檔案。
  13. 機密性及敏感性的資料與文件,不得存放在對外開放的資訊系統中。
  14. 網路系統管理人員得監督網路資料使用情形,檢查有無違反資訊安全規定之事件發生,並視需要通報其主管。
  15. 對必要之網路硬體設備使用不斷電系統(UPS)。
  16. 電子郵件安全管理規範

    (一)電子郵件接收後應自行保管。

    (二)不得以電子郵件等方式洩漏公司機密資料。

    (三)對來路不明的電子郵件,不宜隨意打開電子郵件,以免啟動惡意執行檔。

    (四)不得發送電子郵件騷擾他人,導致其他使用者之不安與不便。

伍、系統存取安全管理
  1. 使用者之存取管理:

    (一)使用者帳號管理:定期檢查及取消閒置不用的識別碼及帳號。

    (二)通行密碼之管理:使用者於首次使用時,立即更改通行密碼的方式處理。

    (三)系統存取權限之管理:定期評估及檢討ERP使用者之存取權限。

  2. 網路存取之安全控制:維修廠商以遠端登入方式進入本公司電腦網路系統進行維修的通信作業埠,應以「資訊需求申請單」經核准才可使用,於申請時間後,需將該系統之遠端登入帳號停用。
陸、系統發展及維護安全管理
  1. 本公司各應用系統之安全需求視各業務單位之要求而定,有關各項控管、權限、使用範圍等概由業務主管單位提出,並確認後納入系統規劃設計規範中。
  2. 為確保系統安全控制不被破壞,應建立變更控制程序;任何的系統變更,皆應獲得權責管理人員的同意;建立變更控制程序,應考量的事項如下:

    (一)依事前訂定的授權規定,執行變更作業。

    (二)系統完成變更作業後,應獲得系統使用者之認可。

    (三)檢視系統安全控制及正確性的程序,以確保系統變更作業不致 影響或破壞系統原有的安全控制措施。

    (四)應建立軟體更新的版本控制機制。

柒、資訊設備實體及環境安全管理
  1. 設備安全管理:

    (一)設備應安置在適當地點,以減少環境不安全引發之危險及未經授權存取系統的機會。

    (二)應檢查及評估火災、煙、水、灰塵、震動、化學效應、電力供應、電磁幅射等加諸於設備之危害。

    (三)電腦作業區應禁止抽煙及飲用食物。

  2. 機房安全管理

    (一)機房設立

    1. 集團及各事業群(部)之重要資訊設備,均需設立機房存放運行。
    2. 資訊設備應安置在適當地點,以減少環境不安全引發的危險及未經授權存取系統的機會。
    3. 資訊設備應儘量安置在人員不需經常進出之地點。機密性資料主機,應放置在管理人員可以注意及可就近照顧的地點。
    4. 資訊機房應注意防漏水、防潮、防塵、防火、防震及避雷安全,並有適當照明與面積,可因應業務之發展擴充。
    5. 資訊機房內的通訊服務與管路應保持暢通。
    6. 資訊機房應設置無水、無腐蝕性的消防設備,並定期整理、清潔及記錄。

    (二)環境管理

    1. 機房內嚴禁吸菸,飲料、食物不得攜入,禁止存放私人物品。
    2. 網路線及電源線應放置線槽內或固定於機櫃上,不可裸露於走道。
    3. 進入機房人員未經允許,不得擅自拔除線路或關閉設備電源。
    4. 機房走道應保持淨空,以利物品搬運、維修及逃生安全。

    (三)機房環控

    1. 資訊機房應設置監控設備,監控內容包含温度、溼度、不斷電系統、空調冷氣、消防設備等。
    2. 環控設備應能即時顯示異常狀態。

    (四)電源標準

    1. 資訊機房應採獨立、穩定、安全之電源系統,並可因應業務之發展而擴充容量。
    2. 不斷電系統或備用電源僅供無電磁干擾之設備使用,在斷電之狀況下可維持系統正常運作,並預留人工處理之緩衝時間。
    3. 不斷電系統應預先保留因業務發展而擴充之容量。(平時耗電負載應在50%以下)
    4. 電源延長線應謹慎使用,以免電力無法負荷導致火災等危害安全情事。
    5. 接地良好,接地電阻須小於1歐姆,有獨立接地為佳。
    6. 依製造廠商提供之規格需求配電。

    (五)溫、濕度及消防控制

    1. 資訊機房應有獨立空調,資訊設備運作時須提供適當溫度(攝氏20~26度)及濕度(相對濕度30~80度)。
    2. 資訊設備如有特殊溫、濕度需求,須另行設定。
    3. 資訊機房應建置滅火系統。
    4. 資訊機房管理人員應熟悉滅火系統操作方法及設備位置,若發生警報,應查明原因,並做適當處置,即時支援處理。

    (六)設備存放

    1. 資訊設備應有明確之標示,並造冊詳細記錄設備資料。
    2. 資訊設備須架設穩固不易掉落;各種網路線須明確標示用途及編號,其線路及設備管理並依相關規定辦理。
    3. 資訊設備之使用,如有與業務無關或超出授權目的以外不當使用的情形,應予告誡,情節重大者依「獎懲辦法」相關規定予以議處。

    (七)門禁管制

    1. 資訊機房應隨時上鎖,鑰匙由資訊專責人員保管,並建立保管人名冊,列入移交事項。
    2. 權責單位應適當管制允入人員之進出。允入人員進出資訊機房應有記錄,明確記錄單位、姓名、事由、進出時間等事項,並應定期檢核。
    3. 廠商人員及其他非允入人員進入資訊機房,須經權責主管核定後由允入人員全程陪同方可進入。
    4. 資訊機房內所有設備更動須經權責主管核定,並依相關規定辦理。
    5. 資訊機房設備除系統管理人員基於業務需要操作外,其他人員不得擅自操作機器。

    (八)機房日誌

    1. 權責單位應指定專責人員,定期在機房日誌記錄;設備運轉狀況、設備使用率、指示燈號、備份記錄、電流電壓、溫/濕度、異動/異常狀況處理、定期備用設備測試等資料,並定期予以檢核。
    2. 機房發生重大意外事件時(如主機異常、溫控異常…等),均應製作重大事件危機處理報告,以利後續業務辦理。
捌、資訊系統復原執行計畫
  1. 前言

    為保護本公司各項資產免於遭受破壞,不論這些破壞是來自內部或外部,以及來自人為、蓄意或意外災害,藉由建置完整之資訊安全復原機制,以確保所有資訊安全措施及程序皆可正常運作,及各項系統可順利且正確地回復正常運作,爰訂定此復原計畫(以下簡稱本計畫)。

  2. 復原計畫

    本計畫係以資訊系統為範圍,依正常處理程序進行資安通報、緊急應變及機房服務中斷恢復等復原措施,在影響程度最小的原則下,在最短時間內將設備復原正常運作;

    (一)各項設備應於下列規定時間內復原:

    項  目復原時間備  註
    機房實體設備 72小時  
    系統服務 72小時  
    網路服務 48小時 電信業者等非歸責於公司可控制因素者除外

    (二)資訊設備故障時,應依設備之重要性及優先順序將資訊系統復原。

    (三)為確保各項資料可正常且順利復原,各項資訊設備平時應將系統重要資 料作備份,並確實做好異地存放,以確保備份資料之機密性,完整性及 可用性。

    (四)各項資訊設備發生異常狀況時,除依規定通報權責主管外,並啟動緊急 應變採取修復措施。

    (五)若實體設備毀損,應立即通知維護(保固)廠商到修,應請其提供同等級 或更高級設備使用,待原設備修復後再予更換。

    (六)若為系統資料或軟體資料毀損,則依正常程序將備份資料復原。

  3. 後勤支援

    (一)權責單位平日應建立各項設備、軟體、UPS及冷氣維護廠商清單,以利 緊急連絡。

    (二)後勤資源如:UPS、滅火器及冷氣等應定期維護,以確保其功能。

  4. 復原計劃演練

    各項演練紀錄應妥善保存,以作為日後參考依據。

  5. 結語

    本計畫應每年定期檢討,以確保其符合性。
    本辦法經總經理核准公佈實施,修正亦同。
    於2020年3月25日訂定。