資通安全政策及程序

組織架構

本公司資通安全之權責單位為資訊部，該部設置資訊主管乙名，與專業資訊人員，負責訂定內部資通安全政策、規劃暨執行資通安全作業與資安政策推動與落實，並每年一次向高階主管報告公司資通安全治理概況。
本公司稽核室為資通安全監理之督導單位，該室設置稽核主管乙名，與專職稽核人員，負責督導內部資安執行狀況，若有查核發現缺失，旋即要求受查單位提出相關改善計畫與具體作為，且定期追蹤改善成效，以降低內部資安風險。
組織運作模式-採 PDCA（Plan-Do-Check-Act）循環式管理，確保可靠度目標之達成且持續改善。

資通安全政策及具體管理方案

為貫徹本公司各項資通管理制度能有效運作執行，強化資通安全管理，確保資通的可用性、完整性以及機密性，並免於遭受內、外部的蓄意或意外的威脅，以確保資通系統、設備網路之安全維運，達到永續經營目的。

管理措施說明如下：

一、電腦設備安全管理。

本公司電腦主機、各應用伺服器等設備均設置於專用機房，機房之門禁須採用感應刷卡進出，且保留進出紀錄存查。
機房內部備有獨立空調，維持電腦設備於適當的溫度環境下運轉；並放置藥劑式滅火器，可適用於一般或電器所引起的火災。
機房主機配置不斷電與穩壓設備，避免台電意外瞬間斷電造成系統當機，或確保臨時停電時不會中斷電腦應用系統的運作。

二、網路安全管理。

與外界網路連線的入口，配置企業級防火牆，阻擋駭客非法入侵。
配置上網行為管理與過濾設備，控管網際網路的存取，可屏蔽訪問有害或政策不允許的網路位址與內容，強化網路安全並防止頻寬資源被不當占用。

三、病毒防護與管理。

伺服器與同仁終端電腦設備內均安裝有端點防護軟體，病毒碼採自動更新方式，確保能阻擋最新型的病毒，同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為。
電子郵件伺服器配置有郵件防毒、與垃圾郵件過濾機制，防堵病毒或垃圾郵件進入使用者端的資訊設備。

四、系統存取控制。

同仁對各應用系統的使用，透過公司內部規定的系統權限申請程序，經權責主管核准後，由資訊部建立系統帳號，並經各系統管理員依所申請的功能權限做授權方得存取。
同仁辦理離(休)職手續時，必須會辦資訊部，進行各系統帳號的刪除作業。

五、確保系統的永續運作。

系統備份：建置備份管理系統，採取日備份機制，備份媒體共有兩份，一份保留於機房，另一份備份媒體存放於異地。
災害復原演練：各系統每年實施一次演練，選定還原日期基準點後，由備份媒體回存於系統主機，再由使用單位書面確認回復資料的正確性，確保備份媒體的正確性與有效性。

六、資安宣導與教育訓練。

所有新進同仁，皆須完成資通安全與保護教育順練課程。
定期宣導，每季要求同仁定期更換系統密碼，以維持帳號安全。
講座宣導，不定期對內部同仁實施資通安全相關的教育順練宣導
加入「台灣電腦網路危機處理暨協調中心 TWCERT/CC」會員，取得資通案件諮詢管道，以及收集資安情資，提供內部宣導。

本公司實施之資通安全管理措施，包含如下：

類型	說明	相關作業
權限管理	人員帳號、權限管理與系統操作行為之管理措施	帳號權限管理與審核人員人員帳號權限定期盤點
存取管控	人員存取內外部系統及資料傳輸管道之控制措施	內/外部存取管控措施操作行為軌跡記錄
外部威脅	內部潛在弱點、中毒管道與防護措施	主機/電腦弱點檢測及更新措施病毒防護與惡意程式檢測
系統可用性	系統可用狀態與服務中斷時之處置措施	系統/網路可用狀態監控及通報機制服務中斷之應變措施資訊備份措施、本/異地備份機制定期災害復原演練

投入資通安全管理之資源

為實踐六大項資通安全政策，投入之資源如下：

一、網路硬體設備。

次世代防火牆：具備上網行為分析。
網管型交換器。

二、軟體系統。

伺服器端點防護系統。
使用者端點防護系統。
備份管理軟體。
郵件防毒。
垃圾郵件過濾。
VPN認證。

三、電信服務。

入侵防護服務。
DDOS防護服務。

四、投入人力。

每日各系統狀態檢查。
每週定期備份及備份媒體異地存放之執行。
每年不定期資通宣導教育課程。
每年系統災難復原執行演練。
每年對資訊循環之內部稽核、會計師稽核。

民國 112 年企業資訊安全措施推動執行成果

面向	工作項目
管理面	修訂資通政策	已完成
	實施資通系統盤點、分級；風險評估	已完成
	修訂資通事件通報機制及應變演練	已完成
	辦理資通內部稽核	已完成
	辦理資通外部稽核	已完成
訓練面	所有新進員工皆完成資訊安全訓練課程	已完成
訓練面	宣導資訊保護與資訊安全重要規定與注意事項	已完成

資安事件通報程序

本公司資訊安全通報程序如下，資安事件之通報與處理，皆遵守該程序之規範進行。

光電產品