資訊安全風險管理
為防止本公司在不安全之網路環境下,遭致可能之破壞,或非預期及非經授權之修改,以確保資訊系統與資料之安全性、可用性及完整性。針對關鍵營運系統或活動遭受破壞、不當使用等危害資通安全之重大事故時,能迅速進行災害復原處置,並在最短時間內回復,以確保核心業務之持續運作,本公司制定「資訊安全管理作業」供全體員工共同遵循,同時作資安宣導提昇資安意識。
資訊系統安全規劃作業
- 建立資訊系統之安全控管機制,確保資訊資料安全,保護系統及網路作業,防止未經授權之系統存取。
- 資訊資產設有專人保管及管理。
惡意軟體之防範
- 禁止使用或下載未經授權或與業務無關之軟體。
- 安裝病毒偵測與修復軟體,定期更新病毒資訊,以防止病毒之攻擊。
電腦軟體與程式著作權保護
- 使用授權軟體與遵守著作權規範,妥善保管採購軟體產品之授權書、原版光碟、手冊等等證明。
- 取得之合法軟體不得從事或轉讓予非授權範圍之使用。
網路安全管理
- 資訊人員每日檢查網路設備是否有異常情形並記錄備查。
- 經授權之網路使用者,只能在授權範圍內存取網路資源。
- 網路使用者遵守網路安全規定,並確實瞭解其應負之責任;如有違反網路安全情事,應依資訊安全規定,限制或撤銷其網路資源存取權利,並依相關規定處理。
- 透過防火牆,以控管外界與本公司內部網路間之資料傳輸與資源存取。
電子郵件安全管理
- 電子信箱帳號之註冊、離職、異動申請,遵循電子郵件相關管理規範之規定。
- 建立電子郵件之安全管理機制,降低電子郵件之業務及安全風險。
電腦管理及安全防護
- 檢查作業系統及硬體設備之效能,並注意作業系統版本更新及問題資訊。
- 定期檢視更新系統安全修補、防毒軟體及防毒碼,以維持系統正常運作。
資料備份
- 各項系統設定檔、網頁資料、伺服器檔案及資料庫資料建立本地及異地備援,由各系統負責人員訂定備份週期,將備份狀況記錄備查。
- 災害系統復原計劃演練,依災害程度建立相關通報機制,有效緊急應變與系統復原。
機房之安全與管理
- 機房設置門禁管制,人員進出應填寫登記備查,禁止未被授權的人員進出。
- 系統管理、技術諮詢與機房操作人員工作應依職務與相關規定確實記錄備查。
資訊安全政策宣導
- 定期宣導各同仁遵守相關資訊安全政策。