資訊安全管理

個資保護運作情形

為強化個人資料保護管理機制，擎邦設立「個人資料安全維護委員會」，

由總經理擔任主任委員，各部之部主管擔任委員，負責統籌推動公司個人資料保護政策及管理作為。

為確保制度落實，個人資料保密項目，並已列入稽核室年度專案查核，以確保個資保護有效執行。

於管理實務層面，本公司保有的個人資料均屬營運及管理所需，

由同仁提供之個人資料皆以人事作業程序所需為原則，

並於同仁入職時要求其簽署「提供個人資料同意書」，且置入人事資料袋保存；

如委外辦理教育訓練或其他事務，而有必要提供個人資料予委外機構時，

擎邦均要求委外機構簽署「個人資料蒐集保管承諾書」，

依法要求採取合理及必要之安全保密措施。

一、資訊安全組織及權責

（一）資訊安全組織

1. 由主席、資安主管、資訊室負責推動、協調及監督資訊安全管理事項。

（二）資訊安全組織權責

1. 資訊室協助各部門進行風險評估、安全分級、系統安全控管措施工作。

2. 部門資料若開放給外部門作資料存取動作時，應予適當的限制，訂定安全控管程序，以防資訊遭未經授權的人員取用。

二、人員安全管理及教育訓練

（一）人員晉用及教育訓練

1. 若其工作職責須使用處理敏感性的資訊科技設施或涉及機密性資訊者，應經適當的安全評估程序。

2. 員工使用資訊設備應依相關規定課予機密維護責任，並進行適當的資訊安全教育及訓練。

（二）使用者資訊安全管理

1. 在系統使用者尚未完成正式授權程序前，資訊服務提供者不得對其提供系統存取服務。

2. 應要求使用者確實瞭解系統存取的各項條件及要求，只能在授權範圍內存取系統資源。

3. 使用者不得將個人登入帳號與密碼交付他人使用，使用者亦不得以任何方法竊取他人的登入帳號與密碼。

4. 應建立及維持系統使用者之註冊資料紀錄，以備日後查考。

5. 使用者調整職務及離職、休職時，應儘速取消其系統存取權限。

6. 應定期檢查及註銷閒置不用的識別碼及帳號。

7. 當有跡象足以顯示使用者密碼可能遭破解時，應立即更改密碼。

三、電腦系統安全管理

（一）資訊資產的分類、清冊的建立

1. 公司內資訊安全組織人員，應依部門或業務性質分組，將公司之資訊資產一一列舉，並加以分類。

2. 公司內各部門應列出該部門之資訊資產清單，內容至少應包含資產編號、資產名稱、保管人、使用人、放置位置等項目。

（二）應保護重要的資料檔案，以防止遺失、毀壞、被偽造或竄改。

（三）應落實定期備份作業及電腦媒體異地備援之規定，以便發生災害或是儲存媒體失效時，可迅速回復正常作業。

（四）重要資料須區分機密等級並依權限使用。

（五）應依使用者所負責業務性質及職權，賦予不同資料存取權限。

四、實體及環境安全管理

（一）設備安全管理

（二）周邊安全管理

五、網路安全管理

（一）網路服務管理

（二）網路使用者之管理

（三）防火牆之安全管理

（四）軟體輸入控制

（五）網路資訊管理

（六）電子郵件管理

（七）網路設備備援與系統備援

六、系統存取控制

七、系統發展及維護之安全管理

（一）應用系統檔案之安全

1. 在作業系統上執行應用軟體，應嚴格執行下列控制程序，減少可能危害作業系統的風險。

2. 作業用的應用程式更新作業，應限定只能由授權的管理人員才可執行。

3. 應保留舊版的軟體，以作為緊急應變措施之用。

（二）系統變更及維護環境之安全

1. 作業系統如需變更時，應評估期對應用系統是否造成負面的影響，或是產生安全問題。

2. 作業系統的變更應即時通知相關人員，以便在作業系統變更前，相關人員可以進行適當及充分的評估作業。

（三）套裝軟體變更之限制

1. 廠商提供的套裝軟體，應儘可能不要自行變更或修改。

2. 如自行變更套裝軟體，應考量日後進行軟體維護的可能性。

3. 套裝軟體如須變更，應保留原始的軟體，並將變更的資料予以記錄，以備日後軟體再更新之用。

（四）電腦病毒掃瞄程式應設定排程定期更新及對電腦設備做全面掃瞄。

（五）定期修補系統漏洞程式。

八、業務永續運作計畫之規劃及管理

（一）為因應各種人為及天然災害造成業務運作受影響，須確實做好各項備份工作。

（二）系統相關人員應依業務性質研擬緊急應變計畫，使各項業務得以永續運作。

（三）應定期測試及更新緊急應變計畫，以確保計畫持續有效。

九、內部稽查

（一）資訊室定期執行資訊安全檢查，並將檢查報告呈送權責主管覆核，追蹤及覆核改善情形，以確認內外部確實遵循公司資訊安全政策。

（二）公司內部稽核並每年依據稽核計畫就公司資通安全檢查項目進行稽核，稽核結果除於董事會進行報告外，必要時向董事長報告，提供管理階層內部控制功能運作狀況，以便其了解已存在或潛在缺失，進而改善優化。

十、資訊安全管理運作情況

（一）為強化全員對個人資料保護之認知與遵循能力，擎邦已將資訊安全與個資保護納入新進人員訓練之必修課程，將其列為基本職場素養之一，2024 年訓練人數2 人，訓練執行率100%。除新進訓練外，公司亦於定期集會或部門會議場合中適時進行資安與個資保護宣導，並妥善留存相關紀錄，以強化全員持續性認知。

（二）此外，公司每年度透過內部公告網頁推送個人資料安全維護注意事項，持續重申資訊安全與隱私保護的重要性，強化員工日常工作中之落實力。

（三）另外，為提升本公司資安事件應變能力，2024 年我們特別進行一場次資安事件模擬演練，模擬檔案伺服器遭受加密病毒攻擊，導致伺服器內部資料被加密無法存取的情境，啟動資安應變流程，進行問題判斷、系統隔離、病毒掃除及資料還原等程序。演練成果為成功還原前一日備份資料，確認備份機制具備基本災難復原能力。

（四）為提升整體資安防護效能與事件應變速度，針對本次演練結果，後續將檢視與強化備份系統運作效能，確認排程、完整性與異地備援機制皆正常運作；加強內部教育訓練與資安宣導，提升員工對勒索病毒及可疑郵件的辨識與通報意識；檢討並優化資安應變流程，提升跨部門協作效率與實務應變能力。

（五）2024 年本公司無因重大資訊安全事件導致損失之情事、亦無因個資保護事件導致損失之情事，顯示公司在資訊安全與個資管理方面具備良好的內控機制與風險防範能力。