資訊安全政策及管理辦法
資訊安全管理辦法
1.目的:
為強化資訊安全管理, 建立安全及可信賴之電子化作業平台,確保資料、系統、網路及相關設備能永續運作,並在兼顧資訊安全與作業效率下 ,建立資料處理、交換及之安全控管機制,擬定本公司之資訊安全管理政策。
2.資訊安全政策:
本公司為達成資訊安全目標訂定之資訊安全管理作業規定、措施、標準、規範及行為準則等,由資訊部門負責辦理 ,每年評估一次,以確保資訊安全實務作業之有效性。 為落實相關的資訊安全管理,執行作業以書面或電子方式告知公司員工、子公司員工及提供資訊服務之廠商共同遵行。
2.1.資訊安全管理之範圍:
本公司資訊安全管理涵蓋6項資訊安全管理事項,以避免如因人為疏失、蓄意或天然災害等因
素,遭致不當使用、洩漏、竄改、破壞等情事,而對本公司帶來可能之風險及危害程度。其安全管理事項如下:
● 資訊安全組織
● 人員安全與管理
● 資產分類與控管
● 實體與環境安全管理
● 通訊與操作管理
● 存取控制
2.2.對於公司內部人員,發現有違規行為,開人評會,依違規的輕重以不同之程度懲處,如:警告、申誡、記過。情節嚴重者,解雇該員工,並且需追究其相關法律責任。
2.3.對於廠商與外部人員的侵犯,輕則口頭警告,驅離,嚴重者,將拒絕往來,並需追究其相關法律責任。
3.資訊安全組織與資訊分類:
3.1.本公司之資訊安全相關政策由資訊部門負責制定:
3.1.1.資訊部門之職責:
負責訂定及檢討公司資訊安全政策規劃,呈董事長核准實施。
針對各項資訊安全措施辦理風險評估。
監督資訊安全管理事項、進行資訊安全政策符合性檢查。
3.1.2.資訊安全之執行單位:
3.1.2.1.總公司:
●各單位資訊安全符合性稽查,由資訊部門會同相關單位負責辦理
●資訊系統安全控管措施由資訊部門配合各事業單位代表負責執行
●門禁管制按照門禁管理辦法執行
3.1.2.2.委外、第三方與協力廠商:
依據合約內容配合本公司資訊安全運作。
3.2.資訊分類與控管:
3.2.1.資訊分級依『機密文件分類管理辦法』為資訊安全等級之分類標準。
3.2.2.配合資訊分級及風險評估,建立一套符合需要的資訊保護措施。
3.3.有關於電腦資訊權限申請異動,皆需要填寫“電腦業務需求表” 轉呈電子簽核主管單位同意
後,由資訊部門協助修改。
4.人員安全與管理:
4.1工作說明及資源分配安全:
4.1.1.對於可存取機密性、敏感性資訊或系統之員工依業務權責與職稱區分。
4.2.使用者訓練:
4.2.1.員工必須瞭解單位之資訊安全政策。
4.2.2.隨時公告資訊安全相關訊息。
4.2.3.不定期派員參與外界舉辦相關訓練、研討會、產品發表會。
4.3.安全及失效事件反映及處理:
4.3.1.發生資訊安全事件,應通報資訊部門人員,並記錄處理與追蹤。
5.實體及環境安全管理:
5.1.安全區域:
5.1.1.電腦機房,系統作業區域及其它重要地區,對於進出人員必須由管理人員作必要之限制及監督其活動。
5.1.2.進出機房時需要填寫"人員進出機房登記表"需詳細填寫登記表內容外
,進出機房需有資訊人員陪同。
5.1.3.儲存媒體依保存規範要求存放在安全的環境。
5.1.4.機房內外設有監視器,監控機房內外及進出人員,儲存錄影檔案最少30天。
5.2.一般控制措施:
5.2.1.攜帶型的電腦設備訂有嚴謹的保護措施,以防止設備遺失造成資料外洩。
5.2.2.訪客所攜帶之資訊設備 Notebook,非經允許不得連上公司內部網路。
5.2.3.應建立管理機制以確保所有之 Notebook、PC 的作業系統及病毒瑪都有即時更新。
6.網路安全與操作管理:
6.1.網路安全規劃作業:
6.1.1.應建立電腦網路系統的安全控管機制,以確保網路傳輸資料的安全,保護網路連線作業,防止未經授權的系統存取。
6.1.2.網路使用者之管理:被授權的網路使用者,只能在授權範圍內存取網路資源,不得將自已的登入身份識別與登入網路的密碼交付他人使用。禁止使用違反著作權、善良風俗或會妨害網路系統的正常運作之不法或不當的資訊。
6.1.3.防火牆之安全管理:公司網路分別為內網與外界公眾網路連接的網點。防火牆系統及管控機制應依資料安全等級、網路設備更動等情況定期檢討,以因應各種新型態網路攻擊。
6.1.4.軟體下載控制:經由網際網路下載軟體或資料檔案,在確認安全無虞及不違反智慧財產的前提下,方得安裝執行。
6.2.主機安全防護:
6.2.1.存放機密性及敏感性資料之伺服器主機,除作業系統既有的安全設定外,應規劃安全等級較高之Firewall or IDP 保護,防制非法使用者登入主機進行盜取、破壞等情事。
6.2.2.負責重大營運的系統主機,必須考慮高可靠度系統的建立,避免網路攻擊及干擾
6.3.電子郵件之安全管理:
6.3.1.應依資訊安全政策及規定,明訂電子郵件的使用規定。
6.3.2.應建立電子郵件的安全管理機制,以降低電子郵件可能帶來的業務上及安全上的風險。
6.4.網際網路Internet 使用之安全管理:
6.4.1.公司對外開放之連線資訊系統,應作適當的安全防護以及隔離,避免外界直接進入資訊系統或資料庫存取資料。
6.4.2.應考量網際網路新技術的可能安全弱點,並採取適當的防護措施以確保內部網路安全。
6.4.3.當伺服器執行之應用程式需接收使用者回傳資料時,應防被置入破壞性指令或程式。
6.4.4.當無法使用正常網路時,應設置替代網路、備援連線電路,保持通訊的連續性。
6.4.5.對於非業務相關之網路活動應公告規定禁止,並以應用軟體加以管理。
6.5.無線網路:
6.5.1.無線網路的使用應加上必要之安全管理機制。
7.存取控制:
7.1.使用者存取管理:
7.1.1.使用者存取權限的檢視,訂有申請管制程序。
7.1.2.對於使用者註冊資料,隨時更新並保留相關文件資料:
7.1.2.1.使用者離職日隔天立即關閉者帳號,並定期檢查是否有閒置的使用者帳號。
7.1.2.2.本公司應管制使用者初次登入電腦系統後,必須立即更改預設之密碼。
7.1.2.3.對於忘記密碼之處理,有嚴格的身份確認程序。
7.1.3.密碼的使用須依規定的期限每90天變更密碼。
7.1.4.依環境或業務需要,於網路防火牆,做適當之設定。
7.1.5.限制登入作業,在一定期間未操作時,即予中斷連線。
7.1.6.對於系統的登入及使用,都留有紀錄(LOG FILE),並有專人定期檢視是否有異常狀況。
7.1.7.軟體安裝完畢後須立即更新廠商所預設之密碼。
7.1.8.對風險性高的應用程式必須限制其連線作業需求。
7.1.9.網路共用磁碟機皆依各部門群組劃分設定權限管理,若權限異動需填寫“電腦業務需求表”轉呈電子簽核主管單位同意後,由資訊部門協助修改。
7.1.10.個人電腦在未使用時間達到5分鐘即啟動螢幕保護程式,解除時需輸入帳號密碼,以防止電腦資料在未經同意時遭他人使用。
7.1.11.各電腦系統的USB PORT依業務需要開放或取消,以防止透過USB裝置存取公司電子資料。