资通安全管理
一、目的:
本政策规范本公司资通安全的管理制度,以确保本公司主机、网络通讯设备等相关信息资产与数据的安全。有效降低因人为疏失、蓄意或天然灾害等导致之资通资产遭窃、不当使用、泄漏、窜改或毁损等风险。并确保其机密性(Confidentiality)、完整性(Integrity)及可用性(Availability)。
二、依据:
依据『公开发行公司建立内部控制制度处理准则』第9条之规范,订定计算机化信息系统相关控制作业,以确保公司信息系统之建置、开发与维护均依照标准作业程序与窗体进行与管控。包含:
1、信息单位之功能及职责划分作业程序。
2、系统开发及程序修改作业程序。
3、系统文书编制之控制作业程序。
4、程序及数据之访问控制作业程序。
5、数据输出入控制作业程序。
6、数据处理控制作业程序。
7、档案及设备之安全控制作业程序。
8、硬件与系统软件之购置、使用及维护控制作业程序。
9、系统复原计划制度及测试程序之控制作业程序。
10、资通安全检查之控制作业程序。
三、量化型目标:
1、信息系统服务水平:影响重要系统的可用性天数,总年度影响运作小于2天,上下半年皆不得超过1天。
2、信息安全:「重大信息安全事故」因系统不当管理,系统遭受入侵/中毒/硬件或操作系统故障等因素,导致公司重要数据外泄或损毁,且无法自备份系统复原次数 (总年度影响运作 <=1次) 。
3、社交工程演练:每年定期至少执行一次社交工程演练,培养员工资安危机意识。
3-1、电子邮件社交工程演练之邮件开启率低于5%。
3-2、电子邮件社交工程演练之邮件附件点阅率低于2%。
3-3、于社交工程演练期间结束后,对不合格员工进行教育训练。
4、信息安全稽核 (2次/年)。
四、 质化型目标:
1、管理:
依据相关法规,已配置信息安全主管与信息安全专责人员各一名,并已完成申报。
2、资安事件处理:
当发生资安事件,立刻通报高层主管,评估遭受损失及必要因应措施、同时评估资安风险可能对公司财务与营运的影响。
3、网络管理与密码管理:
3-1、网域控制:集中管理公司所有同仁账号。
3-2、设置对外网络防火墙,隔绝外来侵害。
3-3、个人与主机安装防病毒软件,并自动派送最新防病毒程序。
3-4、个人密码定期通知更换,并必须符合复杂性定义。
4、邮件管理:
4-1、设置垃圾邮件拦截系统,防止病毒透过邮件入侵。
4-2、导入双因子验证,强化邮件账号的安全管理。
5、数据保护与访问控制:
所有网络档案文件夹皆需设定用户权力。降低遭受资通安全风险之威胁。
6、信息资产管理:
每年定期盘点信息资产,以鉴别信息资产价值及其可能遭遇之资安风险。
7、人员资安意识与教育倡导:
定期与不定期透过教育训练、内部会议、张贴公告等方式,向公司内所有人员进行倡导资安相关课程与内容,提升人员资安意识。
9、资通安全政策之检讨修正:
资通安全政策不定期进行检讨,以反映政府资通安全管理政策、法令、技术,并符合公司之最新状况,确保政策实务之可行性及有效性。
五、以上资通安全政策与目标经总经理核准后生效实施。
