一、 組織

為強化本公司之資訊安全管理、確保資料、系統(tǒng)及網(wǎng)路安全，設(shè)立資安管理室，為資安專責單位，包含資安長、資安主管及至少兩名以上的資安人員，負責資通安全事務(wù)的規(guī)劃與執(zhí)行。
其中，資安長至少每年一次於董事會中報告重大議題或規(guī)劃。

• 執(zhí)行資訊機房、電腦資訊檔案安全、網(wǎng)路安全、郵件安全管理、資訊系統(tǒng)控制存取等管理。

 三、資訊安全政策:
 

• 資訊安全之目標：
  建立安全及可信賴之電腦化作業(yè)環(huán)境，確保本公司資料、系統(tǒng)、設(shè)備及網(wǎng)路安全，以保障公司利益及各單位資訊系統(tǒng)之永續(xù)運作。
• 資訊安全之範圍：

       (1) 人員管理及資訊安全教育訓練。 
       (2) 電腦系統(tǒng)安全管理。
       (3) 網(wǎng)路安全管理。
       (4) 系統(tǒng)存取管制。
       (5) 系統(tǒng)發(fā)展及維護安全管理。
       (6) 資訊資產(chǎn)安全管理。
       (7) 實體及環(huán)境安全管理。
       (8) 資訊系統(tǒng)永續(xù)運作計畫管理。
       (9) 資訊安全稽核。

• 資訊安全的原則及標準：

       (1) 定期辦理資訊安全教育訓練及宣導，包括資訊安全政策、資訊安全法令規(guī)定、 資訊安全作業(yè)程序、
            以及如何正確使用資訊科技設(shè)施等，促使員工瞭解資訊 安全的重要性，各種可能的安全風險，
            以提高員工資訊安全意識，並遵守資訊安全規(guī)定。 
       (2) 為預(yù)防資訊系統(tǒng)及檔案受電腦病毒感染，對於電腦病毒應(yīng)採取偵測及防範措施，
            對入侵及惡意攻擊應(yīng)建立主動式入侵偵測系統(tǒng)，以確保電腦資料安全之要求。
       (3) 為預(yù)防本公司遭遇天災(zāi)或人為之重大事件，將造成重要資訊資產(chǎn)及關(guān)鍵性業(yè)務(wù)或通訊系統(tǒng)等中斷，
            應(yīng)建立資訊系統(tǒng)永續(xù)運作規(guī)劃之政策。

• 員工應(yīng)遵守之相關(guān)規(guī)定：

       (1) 資訊單位接收帳號申請單後，建立「使用者代號」。
       (2) 電腦資料及設(shè)備，不得任意破壞、攜出、外借、不正當修改，以維護資料完整性。
       (3) 禁止使用無版權(quán)軟體。
       (4) 進入主機後，若作業(yè)結(jié)束或長時間不使用機器時，應(yīng)退出機器，以免資料機密外洩，為別人所破壞或造成當機之困擾。
       (5) 電腦設(shè)備之擺放位置除以方便為原則外 ，應(yīng)遠離茶水、咖啡、日曬或潮溼地點，以延長其壽命。
       (6) 離職或新舊職務(wù)交接時，由資訊單位衡量資料相關(guān)性作適當處置。
       (7) 電腦設(shè)備無法正常作業(yè)時，使用者應(yīng)立即通知資訊單位，以便檢查或維修。

 四、資訊安全具體管理方案:
 

項目	具體管理措施
防火牆防護	防火牆設(shè)定連線規(guī)則。
	如有特殊連線需求需額外申請開放。
使用者上網(wǎng)控管機制	使用自動網(wǎng)站防護系統(tǒng)控管使用者上網(wǎng)行為。
	自動過濾使用者上網(wǎng)可能連結(jié)到有木馬病毒、勒索病毒或惡意程式的網(wǎng)站。
防毒軟體	使用防毒軟體，並自動更新病毒碼，降低病毒感染機會。
作業(yè)系統(tǒng)更新	作業(yè)系統(tǒng)自動更新，因故未更新者，由資訊部協(xié)助更新。
郵件安全管控	有自動郵件掃描威脅防護，在使用者接收郵件之前，事先防範不安全的附件檔案、 釣魚郵件、垃圾郵件，及擴大防止惡意連結(jié)的保護範圍。
	個人電腦接收郵件後，防毒軟體也會掃描是否包含不安全的附件檔案。
資料備份機制	重要資訊系統(tǒng)資料庫皆設(shè)定每日備份。
重要檔案上傳伺服器	公司內(nèi)各部門重要檔案存放於伺服器，由資訊部統(tǒng)一備份保存。
資安險	本公司客戶主要為企業(yè)客戶，無消費者個資保管風險，於評估市面資安險種保險範圍、 適用行業(yè)等項目後，暫不投保資安險，但因應(yīng)資訊安全所面臨的挑戰(zhàn)， 已導入相關(guān)軟硬體,例如防火牆、防毒、入侵防護系統(tǒng)…等，並持續(xù)關(guān)注資訊環(huán)境變化趨勢， 並強化公司同仁資安危機意識及資安處理人員應(yīng)變能力。

五、資通安全的資源投入

• 本公司設(shè)置資安管理室包含資安長一名、資安主管一名及至少兩名以上的資安人員，負責資通安全事務(wù)的規(guī)劃與執(zhí)行。其中，資安長至少每年一次於董事會及季度業(yè)務(wù)回顧會議中報告重大議題或規(guī)劃。
  針對系統(tǒng)主機的作業(yè)系統(tǒng)或重要軟體升級、災(zāi)害復(fù)原演練等重要的資安工作，資安管理室每月皆會定期檢討規(guī)劃與執(zhí)行進度，並透過不定期的社交工程演練、資安健檢服務(wù)等，判斷使用者的資訊安全觀念是否足夠、資訊設(shè)備資源投入與系統(tǒng)配置是否存在漏洞，編列資安預(yù)算後執(zhí)行。

 

會議日期	會議內(nèi)容
2024/4/26	資安事件、資訊專案進度、組織計畫報告
2024/11/27	資安專案進度、預(yù)算執(zhí)行報告
2025/2/14	資安專案進度、預(yù)算執(zhí)行報告

六、緊急通報程序

• 當發(fā)生資訊安全事件時，發(fā)生單位通報資安管理室，判斷事件類型並找出問題點，即時處理並留下紀錄。