資通安全管理
一、目的:
本政策規範本公司資通安全的管理制度,以確保本公司主機、網路通訊設備等相關資訊資產與資料的安全。有效降低因人為疏失、蓄意或天然災害等導致之資通資產遭竊、不當使用、洩漏、竄改或毀損等風險。並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability)。
二、依據:
依據『公開發行公司建立內部控制制度處理準則』第9條之規範,訂定電腦化資訊系統相關控制作業,以確保公司資訊系統之建置、開發與維護均依照標準作業程序與表單進行與管控。包含:
1、資訊單位之功能及職責劃分作業程序。
2、系統開發及程式修改作業程序。
3、系統文書編製之控制作業程序。
4、程式及資料之存取控制作業程序。
5、資料輸出入控制作業程序。
6、資料處理控制作業程序。
7、檔案及設備之安全控制作業程序。
8、硬體與系統軟體之購置、使用及維護控制作業程序。
9、系統復原計劃制度及測試程序之控制作業程序。
10、資通安全檢查之控制作業程序。
三、量化型目標:
1、資訊系統服務水準:影響重要系統的可用性天數,總年度影響運作小於2天,上下半年皆不得超過1天。
2、資訊安全:「重大資訊安全事故」因系統不當管理,系統遭受入侵/中毒/硬體或作業系統故障等因素,導致公司重要資料外洩或損毀,且無法自備份系統復原次數 (總年度影響運作 <=1次) 。
3、社交工程演練:每年定期至少執行一次社交工程演練,培養員工資安危機意識。
3-1、電子郵件社交工程演練之郵件開啟率低於5%。
3-2、電子郵件社交工程演練之郵件附件點閱率低於2%。
3-3、於社交工程演練期間結束後,對不合格員工進行教育訓練。
4、資訊安全稽核 (2次/年)。
四、 質化型目標:
1、管理:
依據相關法規,已配置資訊安全主管與資訊安全專責人員各一名,並已完成申報。
2、資安事件處理:
當發生資安事件,立刻通報高層主管,評估遭受損失及必要因應措施、同時評估資安風險可能對公司財務與營運的影響。
3、網路管理與密碼管理:
3-1、網域控制:集中管理公司所有同仁帳號。
3-2、設置對外網路防火牆,隔絕外來侵害。
3-3、個人與主機安裝防毒軟體,並自動派送最新防毒程式。
3-4、個人密碼定期通知更換,並必須符合複雜性定義。
4、郵件管理:
4-1、設置垃圾郵件攔截系統,防止病毒透過郵件入侵。
4-2、導入雙因子驗證,強化郵件帳號的安全管理。
5、資料保護與存取控制:
所有網路檔案資料夾皆需設定使用者權限。降低遭受資通安全風險之威脅。
6、資訊資產管理:
每年定期盤點資訊資產,以鑑別資訊資產價值及其可能遭遇之資安風險。
7、人員資安意識與教育宣導:
定期與不定期透過教育訓練、內部會議、張貼公告等方式,向公司內所有人員進行宣導資安相關課程與內容,提升人員資安意識。
9、資通安全政策之檢討修正:
資通安全政策不定期進行檢討,以反映政府資通安全管理政策、法令、技術,並符合公司之最新狀況,確保政策實務之可行性及有效性。
五、以上資通安全政策與目標經總經理核准後生效實施。
