資訊安全管理

隨著科技發展,企業所面臨之資訊安全風險日益增加,本公司亦相當重視資訊安全與機密資訊的保護。為確保公司內電腦資訊、資料、系統、設備及網路之安全,避免因人為疏失、蓄意破壞,遭致資訊資產不當使用、洩漏、竄改、破壞等情事,而影響電腦作業系統正常運轉或損及公司營運,本公司制定「資訊安全政策」供全體同仁共同遵循,同時不定期宣導提升員工的資安風險與意識。

 

訊安全管理架構

本公司由「資訊部」擔任資訊安全專責單位,資訊部門主管擔任資訊安全主管,並設有資訊安全人員1名,共同負責資訊安全相關維護與管理,並定期評估資訊安全政策與作業的適當性及有效性,擬定專案計畫持續強化保護措施以降低資訊安全風險。同時參考ISO27001相關規範建置標準之資訊安全管理基準,持續執行資訊基礎建設、資訊安全措施,確保公司重要資訊的機密性(Security)、完整性(Integrity)與可用性(Availability)。

資訊部定期執行資訊安全檢查,並將檢查報告呈送權責主管覆核,就檢查所提出之發現與問題,予以瞭解、追蹤及覆核改善情形,以確認內外部相關人員與單位均確實遵循公司資訊安全政策。

公司內部稽核並每年依據稽核計畫就公司資通安全檢查項目進行稽核,稽核結果除於董事會進行報告外,並每月或必要時向董事長報告,提供管理階層內部控制功能運作狀況,以便其了解已存在或潛在缺失,進而改善優化。

具體管理方案

本公司並未投保資安險,但透過以下的具體管理方案將公司資安風險降到最低。公司相信並期許透過這些努力能提升資訊科技及確保資訊安全,進而提升公司營運成果,促進聖暉全體股東的權益。

尊重智慧財產權 使用公司網路資源及資訊資產應尊重智慧財產權,避免下列可能涉及侵害智慧財產權之行為:

• 使用未經授權之電腦軟體。
• 違法下載、拷貝受著作權法保護之著作或軟體。
• 未經著作權人之同意,將受保護之著作上傳於公開之網站上。
• 網際網路討論區上之文章,經作者明示禁止轉載,而仍然任意轉載。
• 架設網站供公眾違法下載受保護之著作。
• 其他可能涉及侵害智慧財產權之行為。

資訊系統權限管控

• 依資訊服務需求單進行管控,系統修改須經權責主管及資訊部主管核准後方可執行,以降低資料未經授權而遭修改之風險。
• 使用者依權限擁有相關功能,非相關系統的使用者,無權使用與其業務無關之系統。

 

帳號密碼之安全控制

• 每一位使用者都有各自的使用帳號和密碼,職員離職或調職,則其使用帳號立即註銷或更新。
• 使用者密碼定期更新,以降低被盜用之風險。

網際網路及電子郵件使用規範 使用者不得為下列行為:

• 散布電腦病毒或其他干擾或破壞系統機能之程式。
• 未經公司許可,利用網路資源或電子郵件,將公務資料外流。
• 以破解、冒用他人帳號及密碼或無故將帳號借予他人使用。
• 以任何方式濫用網路資源,包括以電子郵件大量傳送廣告信、連鎖信或無用之信息,或以灌爆信箱、掠奪資源等方式,影響系統之正常運作。
• 以電子郵件、線上談話、電子佈告欄(BBS)或類似功能之方法散布詐欺、誹謗、侮辱、猥褻、騷擾、非法軟體交易或其他違法之訊息。
• 未明列規範之使用行為,若有危及公司資訊資產、資訊安全之虞或觸及國家法律之使用行為,屬禁止行為。

 

資訊資產使用規範

• 使用公司資訊設備或自備資訊設備,均須安裝公司所發佈的最新病毒防治軟體,其病毒碼也應定期更新版本。
• 資訊部不定期發佈資訊安全相關訊息如系統軟體更新通知、常見病毒介紹與防範宣導等,以確保同仁知悉相關資訊。
• 定期將必要的資料備份。
資訊系統資料保全機制與機房管理
• 對不同等級的文件以權限劃分存取原則控管,依機密等級以文管系統建立文件存取安全機制,如不可下載、列印、內文複制等。
• 例行性資料備份,由資訊部執行所有應用系統之資料檔案備份作業,並填寫主機備份記錄表作備份之記錄,備份後資料於異地存放,以備不時之需。
• 主機房設有門禁且電腦主機設備有適當之防火、防水、防盜等安全措施,並裝有不斷電系統,以防電源中斷時所造成的損害。

 

緊急應變處理與系統復原作業

• 電腦主機發生異常時,立即通知使用單位登出並進行資料備份作業。
• 系統異常需復原時,應由使用單位配合資訊人員擬訂系統復原計畫,該計畫應達成以下目標:

o 儘速切斷災變源,減少災變範圍擴大。
o 儘速恢復設備之運轉。
o 運用備份設備或媒體進行系統復原。
o 通知使用單位進行時差性資料的補建工作。

• 系統復原計劃應不定期演練測試並修正,以確保公司能儘快恢復。

 

資訊安全事件處理流程、因應措施及日常防護

訂定各階段之因應如下:

• 事前安全防護:訂定各項預防、應變與復原計畫、以及對軟硬體系統設施、環境、人員培訓等相關防護措施。
• 事中緊急應變:若遭受入侵或攻擊時,啟動緊急應變計畫,盡速降低事件造成的損害。
• 事後復原作業:檢討現有防護措施,執行復原重建工作,並適時修正現有安全機制漏洞與相關應變計畫。

遇資安事件處理流程如下:

• 迅速通報資訊單位處理。
• 資訊單位判斷是否為資安事件:辨識屬內部危安事件、外力入侵事件、天然災害或重大突發事件,並決定處理的方法與程序。
• 依判斷決定通報層級並依據各類事件進行事件傷害控制,降低影響的程度及範圍,徹底解決問題。
• 將系統恢復至事件發生前的正常運作狀態並檢討改善及訂立相關預防措施。
日常防護:
• 加強宣導與教育訓練,提高同仁資安風險意識
• 隨時依現況調整網路資安防護等級與設備添購