永續發展

資訊安全政策


資訊安全風險管理架構


資訊安全政策

  • 為強化資訊安全管理,建立安全及可信賴之作業環境,確保資料、系統、設備及網路安全,以保障員工、股東、廠商及客戶權益並達成企業永續經營目的,特訂定本政策,以作為實施各項資訊安全措施之依據。
  • 適用範圍 :本政策適用於本公司所有員工、約(聘)雇人員、顧問、協力廠商及委外廠商人員及其他業務往來單位等。 
  • 政策要點 : 
  1. 執行各項作業時,應遵循主管機關頒布之各種法令(如:智慧財產權法及個資法)及本公司相關之規定。 
  2. 工作分派應考量職能分工,職務責任範圍應予區分,以避免資訊遭未授權修改或誤用。 
  3. 與本公司往來之協力廠商、委外廠商、顧問或客戶,應視業務性質於必要時要求其簽訂保密合約。 
  4. 針對所有內部員工辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提升本公司資訊安全水準。 
  5. 所有員工有義務保護本公司機密敏感資料,禁止未授權的情況下接觸、使用或是將該資訊揭露、告知與業務無關之同仁、廠商及其他客戶。 
  6. 為防範電腦病毒及惡意程式影響作業,除經合法授權之軟體外,禁止使用非授權軟體。 
  7. 為防範電腦病毒及惡意程式之攻擊,應購買並安裝合法防毒軟體與防火牆,並持續更新病毒碼及掃毒引擎。 
  8. 公司內重要資料應建立完整備份機制, 重要系統應建置備援機制。 
  9. 本公司應視業務需求訂定業務持續運作計畫,並定期測試演練,維持其適用性。 
  10. 員工違反資訊安全相關規定,其應負之資訊安全責任依公司內部辦法處理。


具體管理措施

管理項目 具體管理措施
網路安全管理
  • 對外網路配置企業級防火牆,阻擋外部攻擊與入侵
  • 設置上網政策及過濾設備防止人員訪問有害網址
系統存取控制
  • 資訊系統皆須設定登入帳號、密碼,密碼應符合安全原則並定期更改
  • 應用系統均依職務設置權限
電腦與主機安全管理
  • 建置自動更新系統,自動派送更新至個人電腦與主機
  • 個人電腦與主機安裝防毒軟體,並保持病毒碼持續更新
  • 非經申請允許,個人電腦禁止使用USB儲存裝置
郵件安全防護
  • 設置反垃圾郵件系統
  • 郵件系統安裝多種防毒軟體
資料備份
  • 針對重要資料庫進行每日備份
  • 針對重要檔案/資料進行每日備份
系統可靠度管理
  • 針對重要資訊系統,建置高可用性機制。
  • 應用系統程式每日進行完整備份。