資訊安全管理

一、資訊安全組織及權責

（一）資訊安全組織

1. 由主席、資安主管、資訊室負責推動、協調及監督資訊安全管理事項。

（二）資訊安全組織權責

1. 資訊室協助各部門進行風險評估、安全分級、系統安全控管措施工作。

2. 部門資料若開放給外部門作資料存取動作時，應予適當的限制，訂定安全控管程序，以防資訊遭未經授權的人員取用。

二、人員安全管理及教育訓練

（一）人員晉用及教育訓練

1. 若其工作職責須使用處理敏感性的資訊科技設施或涉及機密性資訊者，應經適當的安全評估程序。

2. 員工使用資訊設備應依相關規定課予機密維護責任，並進行適當的資訊安全教育及訓練。

（二）使用者資訊安全管理

1. 在系統使用者尚未完成正式授權程序前，資訊服務提供者不得對其提供系統存取服務。

2. 應要求使用者確實瞭解系統存取的各項條件及要求，只能在授權範圍內存取系統資源。

3. 使用者不得將個人登入帳號與密碼交付他人使用，使用者亦不得以任何方法竊取他人的登入帳號與密碼。

4. 應建立及維持系統使用者之註冊資料紀錄，以備日後查考。

5. 使用者調整職務及離職、休職時，應儘速取消其系統存取權限。

6. 應定期檢查及註銷閒置不用的識別碼及帳號。

7. 當有跡象足以顯示使用者密碼可能遭破解時，應立即更改密碼。

三、電腦系統安全管理

（一）資訊資產的分類、清冊的建立

1. 公司內資訊安全組織人員，應依部門或業務性質分組，將公司之資訊資產一一列舉，並加以分類。

2. 公司內各部門應列出該部門之資訊資產清單，內容至少應包含資產編號、資產名稱、保管人、使用人、放置位置等項目。

（二）應保護重要的資料檔案，以防止遺失、毀壞、被偽造或竄改。

（三）應落實定期備份作業及電腦媒體異地備援之規定，以便發生災害或是儲存媒體失效時，可迅速回復正常作業。

（四）重要資料須區分機密等級並依權限使用。

（五）應依使用者所負責業務性質及職權，賦予不同資料存取權限。

四、實體及環境安全管理

（一）設備安全管理

（二）周邊安全管理

五、網路安全管理

（一）網路服務管理

（二）網路使用者之管理

（三）防火牆之安全管理

（四）軟體輸入控制

（五）網路資訊管理

（六）電子郵件管理

（七）網路設備備援與系統備援

六、系統存取控制

七、系統發展及維護之安全管理

（一）應用系統檔案之安全

1. 在作業系統上執行應用軟體，應嚴格執行下列控制程序，減少可能危害作業系統的風險。

2. 作業用的應用程式更新作業，應限定只能由授權的管理人員才可執行。

3. 應保留舊版的軟體，以作為緊急應變措施之用。

（二）系統變更及維護環境之安全

1. 作業系統如需變更時，應評估期對應用系統是否造成負面的影響，或是產生安全問題。

2. 作業系統的變更應即時通知相關人員，以便在作業系統變更前，相關人員可以進行適當及充分的評估作業。

（三）套裝軟體變更之限制

1. 廠商提供的套裝軟體，應儘可能不要自行變更或修改。

2. 如自行變更套裝軟體，應考量日後進行軟體維護的可能性。

3. 套裝軟體如須變更，應保留原始的軟體，並將變更的資料予以記錄，以備日後軟體再更新之用。

（四）電腦病毒掃瞄程式應設定排程定期更新及對電腦設備做全面掃瞄。

（五）定期修補系統漏洞程式。

八、業務永續運作計畫之規劃及管理

（一）為因應各種人為及天然災害造成業務運作受影響，須確實做好各項備份工作。

（二）系統相關人員應依業務性質研擬緊急應變計畫，使各項業務得以永續運作。

（三）應定期測試及更新緊急應變計畫，以確保計畫持續有效。

九、內部稽查

（一）資訊室定期執行資訊安全檢查，並將檢查報告呈送權責主管覆核，追蹤及覆核改善情形，以確認內外部確實遵循公司資訊安全政策。

（二）公司內部稽核並每年依據稽核計畫就公司資通安全檢查項目進行稽核，稽核結果除於董事會進行報告外，必要時向董事長報告，提供管理階層內部控制功能運作狀況，以便其了解已存在或潛在缺失，進而改善優化。