资通安全政策及程序

组织架构

资通安全政策及具体管理方案

为贯彻本公司各项资通管理制度能有效运作执行，强化资通安全管理，确保资通的可用性、完整性以及机密性，并免于遭受内、外部的蓄意或意外的威胁，以确保资通系统、设备网络之安全维运，达到永续经营目的。

管理措施说明如下：

一、计算机设备安全管理。

1. 本公司计算机主机、各应用服务器等设备均设置于专用机房，机房之门禁须采用感应刷卡进出，且保留进出纪录存查。
2. 机房内部备有独立空调，维持计算机设备于适当的温度环境下运转；并放置药剂式灭火器，可适用于一般或电器所引起的火灾。
3. 机房主机配置不断电与稳压设备，避免台电意外瞬间断电造成系统当机，或确保临时停电时不会中断计算机应用系统的运作。

二、网络安全管理。

1. 配置企业级防火墙防止非法入侵、破坏或窃取数据，以避免网站遭到非法使用。
2. 监控网络流量并阻隔恶意网络行为, 强化网络安全并防止带宽资源被不当占用。
3. 建立信息安全事件监控、通报与应变处理机制，以利事件发生时，可在最短时间内回复运作，降低损害。

三、病毒防护与管理。

1. 服务器与同仁终端计算机设备内均安装有端点防护软件，病毒特征采自动更新方式，确保能阻挡最新型的病毒，同时可侦测、防止具有潜在威胁性的系统执行文件之安装行为。
2. 服务器与同仁终端计算机设备进行弱点检测，找出系统中所存在的弱点项目并及时修补。
3. 电子邮件服务器配置有邮件防毒、与垃圾邮件过滤机制，防堵病毒或垃圾邮件进入用户端的信息设备。

四、系统访问控制。

1. 同仁对各应用系统的使用，透过公司内部规定的系统权限申请程序，经权责主管核准后，由信息部建立系统账号，并经各系统管理员依所申请的功能权限做授权方得存取。
2. 同仁办理离(休)职手续时，必须会办信息部，进行各系统账号的删除作业。

五、确保系统的永续运作。

1. 系统备份：建置备份管理系统，采取日备份机制，备份媒体共有两份，一份保留于机房，另一份备份媒体存放于异地。
2. 灾害复原演练：各系统每年实施一次演练，选定还原日期基准点后，由备份媒体回存于系统主机，再由使用单位书面确认回复数据的正确性，确保备份媒体的正确性与有效性。

六、资安倡导与教育训练。

1. 所有新进同仁，皆须完成资通安全与保护教育顺练课程。
2. 每季要求同仁定期更换系统密码，以维账号安全。
3. 讲座倡导，不定期对内部同仁实施资通安全相关的教育顺练倡导
4. 加入「台湾计算机网络危机处理暨协调中心 TWCERT/CC」会员，取得资通案件咨询管道，以及收集资安情资，提供内部倡导。

本公司实施之资通安全管理措施，包含如下：

投入资通安全管理之资源

为实践六大项资通安全政策，投入之资源如下：

一、网络硬设备。

1. 次世代防火墙：具备上网行为分析。
2. 网管型交换器。

二、软件系统。

1. 服务器EDR端点防护系统。
2. 用户端点防护系统。
3. 备份管理软件。
4. 邮件防毒。
5. 垃圾邮件过滤。
6. VPN认证。
7. 弱点扫描软件。

三、电信服务。

1. 中华电信资安舰队服务
2. 入侵防护服务。
3. DDOS防护服务。

四、投入人力。

1. 每日各系统状态检查。
2. 每周定期备份及备份媒体异地存放之执行。
3. 每年不定期资安倡导教育课程。
4. 每年系统灾难复原执行演练。
5. 每年对信息循环之内部稽核、会计师稽核。

2024 年企业信息安全措施推动执行成果

资安事件通报程序

本公司信息安全通报程序如下，资安事件之通报与处理，皆遵守该程序之规范进行。