資通安全管理

本公司資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源情形：

1、組織架構
為強化公司的資訊安全管理，確保資料、系統及網路安全，責成管理部設有資訊安全主管1人及資安人員1人負責執行資訊安全系統建置，包含網路管理與系統管理。同時持續檢視評估資訊環境變化趨勢，評估資訊安全風險與防護，以確保內部資安管理機制持續有效運作。
資訊安全稽核負責督導內部資訊安全執行狀況，若有查核發現缺失，即要求受查單位提出相關改善計畫與具體措施，且定期持續追蹤改善成效，以降低內部資訊安全風險。

2、資訊安全運作模式

3、資訊安全政策

• 資訊安全目標

建立安全及可信賴之電腦化作業環境，確保公司資訊資產(軟體、硬體、電腦資料、資訊環境、人員)之機密性、完整性及可用性，避免遭受來自內、外部的各種威脅損害，使公司資訊系統永續運作。

• 資訊安全範圍
  • 人員管理及資訊安全教育訓練。
  • 電腦資訊系統安全管理。
  • 網路安全管理。
  • 系統存取管制。
  • 資訊資產安全管理。
  • 實體及環境安全管理。
  • 資訊安全稽核。
• 資訊安全的原則與標準
  • 定期辦理資訊安全教育訓練及宣導，包括資訊安全政策、法令規定、資訊安全作業程序與如何正確使用資訊科技設施等。促使員工瞭解資訊安全的重要性與各種安全風險， 提高員工資訊安全意識，並遵守資訊安全規定。
  • 為預防資訊系統及檔案受電腦病毒感染，對電腦病毒、入侵及惡意攻擊，建立主動病毒偵測、主動式入侵偵測及防範措施，以確保電腦資料安全之要求。
  • 為預防天災或人為之重大事件，造成重要資訊資產、關鍵性業務或通訊系統等中斷， 應建立資訊系統回復之措施。
• 員工應遵守之相關規定
  • 管理部資訊人員依資訊權限申請單建立”使用者帳號”。
  • 電腦資料及設備，不得任意破壞、攜出、外借與不正當修改，以維護資料完整性。
  • 禁止使用無版權軟體與來路不明軟體。
  • 作業結束或長時間不使用機器時，應退出機器，以免資料機密外洩或遭他人破壞。
  • 電腦設備之擺放，應遠離茶水、咖啡、日曬或潮溼地點，並保持設備整潔與線路梳理以延長其壽命。
  • 離職或新舊職務交接時，由管理部資訊人員衡量資料與權限相關性作適當處置。
  • 電腦設備無法正常作業時，使用者應立即通知管理部資訊人員，進行檢查與維修。
• 資訊安全政策修正
  • 資訊環境發生重大改變與趨勢變化時，重新檢視資訊安全政策。
  • 每年定期重新檢視資訊安全政策，確認相關規範是否符合需求。

4、具體管理方案

本公司資訊安全相關管理方案如下：

項目	管理方案
防火牆防護	防火牆設定連線規則。 有特殊連線需求需額外申請開放。 設定黑名單網站清單，禁止連線遊戲網站。
防毒軟體	使用防毒軟體，並自動更新病毒碼，降低病毒感染機會。
郵件安全管控	自動郵件掃描威脅防護，事先防範不安全的附件檔案、釣魚郵件與垃圾郵件，並擴大防止惡意連結的保護範圍。 自動備份每封寄件與收件郵件。
資料備份機制	重要資訊系統、資料庫與檔案伺服器設定每日備份。 備份資料，一律進行異地存放。
人力資源安全管理	定期進行資訊安全宣導。
資安事件通報	依事件等級依序回報主管單位。 詳實記錄事件發生過程與數據，後續進行檢討改善。
檔案上傳伺服器	使用者重要檔案一律存放於伺服器，由管理部統一備份保存。

最近年度及截至年報刊印日止，無因重大資通安全事件所遭受之損失、可能影響及因應措施。