資通安全政策及程序

組織架構

資通安全政策及具體管理方案

為貫徹本公司各項資通管理制度能有效運作執行，強化資通安全管理，確保資通的可用性、完整性以及機密性，並免於遭受內、外部的蓄意或意外的威脅，以確保資通系統、設備網路之安全維運，達到永續經營目的。

管理措施說明如下：

一、電腦設備安全管理。

1. 本公司電腦主機、各應用伺服器等設備均設置於專用機房，機房之門禁須採用感應刷卡進出，且保留進出紀錄存查。
2. 機房內部備有獨立空調，維持電腦設備於適當的溫度環境下運轉；並放置藥劑式滅火器，可適用於一般或電器所引起的火災。
3. 機房主機配置不斷電與穩壓設備，避免台電意外瞬間斷電造成系統當機，或確保臨時停電時不會中斷電腦應用系統的運作。

二、網路安全管理。

1. 配置企業級防火牆防止非法入侵、破壞或竊取資料，以避免網站遭到非法使用。
2. 監控網路流量並阻隔惡意網路行為，強化網路安全並防止頻寬資源被不當占用。
3. 建立資訊安全事件監控、通報與應變處理機制，以利事件發生時，可在最短時間內回復運作，降低損害。

三、病毒防護與管理。

1. 伺服器與同仁終端電腦設備內均安裝有端點防護軟體，病毒碼採自動更新方式，確保能阻擋最新型的病毒，同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為。
2. 伺服器與同仁終端電腦設備進行弱點檢測，找出系統中所存在的弱點項目並及時修補。
3. 電子郵件伺服器配置有郵件防毒、與垃圾郵件過濾機制，防堵病毒或垃圾郵件進入使用者端的資訊設備。

四、系統存取控制。

1. 同仁對各應用系統的使用，透過公司內部規定的系統權限申請程序，經權責主管核准後，由資訊部建立系統帳號，並經各系統管理員依所申請的功能權限做授權方得存取。
2. 同仁辦理離(休)職手續時，必須會辦資訊部，進行各系統帳號的刪除作業。

五、確保系統的永續運作。

1. 系統備份：建置備份管理系統，採取日備份機制，備份媒體共有兩份，一份保留於機房，另一份備份媒體存放於異地。
2. 災害復原演練：各系統每年實施一次演練，選定還原日期基準點後，由備份媒體回存於系統主機，再由使用單位書面確認回復資料的正確性，確保備份媒體的正確性與有效性。

六、資安宣導與教育訓練。

1. 所有新進同仁，皆須完成資通安全與保護教育順練課程。
2. 每季要求同仁定期更換系統密碼，以維帳號安全。
3. 講座宣導，不定期對內部同仁實施資通安全相關的教育順練宣導
4. 加入「台灣電腦網路危機處理暨協調中心 TWCERT/CC」會員，取得資通案件諮詢管道，以及收集資安情資，提供內部宣導。

本公司實施之資通安全管理措施，包含如下：

投入資通安全管理之資源

為實踐六大項資通安全政策，投入之資源如下：

一、網路硬體設備。

1. 次世代防火牆：具備上網行為分析。
2. 網管型交換器。

二、軟體系統。

1. 伺服器EDR端點防護系統。
2. 使用者端點防護系統。
3. 備份管理軟體。
4. 郵件防毒。
5. 垃圾郵件過濾。
6. VPN認證。
7. 弱點掃描軟體。

三、電信服務。

1. 中華電信資安艦隊服務。
2. 入侵防護服務。
3. DDOS防護服務。

四、投入人力。

1. 每日各系統狀態檢查。
2. 每週定期備份及備份媒體異地存放之執行。
3. 每年不定期資通宣導教育課程。
4. 每年系統災難復原執行演練。
5. 每年對資訊循環之內部稽核、會計師稽核。

2024 年企業資訊安全措施推動執行成果

資安事件通報程序

本公司資訊安全通報程序如下，資安事件之通報與處理，皆遵守該程序之規範進行。