資通安全政策及目標訂定

資通安全政策訂定及核定

本政策由總經理核准，經董事會通過，訂定於111年7月29日。

資通安全目標之訂定

已於「資通安全政策」中訂定。

資通安全政策及目標宣導

於114年8月20日辦理資通安全政策及目標宣導。

資通安全政策及目標定期檢視

每季辦理資通安全政策及目標定期檢視，本季已於115年1月5日辦理完成。

專責人力配置

專責人力配置

本公司目前設置「資訊安全主管」及「資訊安全人員」。

資通安全教育訓練

員工應遵守之相關規定

(1) 電腦資料及設備，不得任意破壞、攜出、外借、不正當修改，維護資料完整性。
  (2) 禁止使用無版權軟體。
  (3) 進入主機後，若作業結束或長時間不使用機器時，應退出機器，以免資料機密外洩，為別人所破壞或造成當機之困擾。
  (4) 離職或新舊職務交接時，由資訊單位衡量資料相關性作適當處置。
  (5) 電腦設備無法正常作業時，使用者應立即通知資訊單位，以便檢查或維修。

資通安全教育訓練要求

新進人員皆須簽定資訊保密協定及接受資通安全教育訓練。

辦理資通安全教育訓練

每年不定期執行郵件社交工程演練。
  已於114年12月5日辦理資通安全教育訓練。

資通安全及資訊人員

(1)於114年3月26日參加【企業資安防護強度檢測】共3小時。
  (2)於114年4月24日參加【惡意程式網路封包分析技巧實務】課程共計5小時。
  (3)於114年9月24日參加【滲透測試】課程共計6小時。
  (4)於115年1月參加金研院資通安全影音課程共計6小時。

內外部稽核

內部稽核

本公司稽核室為資訊安全監理之查核單位，已依規定就相關內部控制程序進行內部稽核，以降低內部資安風險。

外部稽核

已於114年12月15日至12月19日委由外部單位：資誠電腦審計，對公司資訊安全做全面檢查，以確保資安的完整性。

資訊安全具體管理方案
  【資通安全防護（啟用，並持續使用及適時進行軟、硬體之必要更新或升級）】
  【資通安全健診】

防毒軟體

公司電腦統一安裝防毒軟體，定期確認病毒碼之更新，及時檢測網站與軟體安全性。

郵件安全管控

(1)郵件安全防護系統，包含垃圾郵件過濾功能、惡意郵件偵測功能、郵件外寄稽核等管理功能，提升整體郵件資訊安全。

(2)個人電腦接收郵件後，防毒軟體會掃描是否為安全郵件。

防火牆

(1)透過防火牆網路政策限制上網行為，管控公司對外網路，禁止員工連結非工作相關之雲端儲存空間、社群網站、即時通訊等外部服務。

(2)如有特殊連線需求，需額外申請開放，如:VPN服務。

系統存取控制

(1)採最小權限原則管理內部系統與資料之存取權限，人員無法使用非經授權之系統功能，亦無法檢視非職務所需之系統資料。

(2)需要透過管理者帳號才能安裝軟體，以確保公司軟體授權合規性，降低感染病毒、後門程式之風險。

(3)使用者通行密碼應符合安全原則，密碼需符合長度及複雜度之原則，並要求使用者定期更改系統密碼。

文件加密系統

(1)須通過稽核流程解密後才可外寄或列印，限制文件外洩後檔案存取。

(2)公司隨身碟資料管控，員工僅能使用公司資產及註冊之隨身碟，無法使用個人儲存裝置，，保障公司機密資料安全。

資料備份

資訊系統依重要程度建立相應之備份備援機制、異地備援措施，每年定期執行災害復原演練，確保備援機制運作正常。