資訊安全管理

一、前言

說明本公司在資通安全分成幾個層次，分別為風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等四個面向，茲說明如下：

二、風險管理架構

公司針對資通安全分為三層，負責第一、二層為資訊安全治理組織，該組織隸屬於總經理室之下的資訊中心，負責的工作項目包含統籌、制定、執行相關政策與作業。

三、資通安全政策

本公司對於資通安全所定義的範圍，包含網路安全、外部威脅、及公司員工帶入的電腦病毒等。公司針對資通安全採取了三層防護的機制，以確保其商業、營運、技術團隊能持續運作。

A.第一層防護: 作業團隊 - 具技術背景的資訊人員結合專業的網管及資安廠商，依照資安政策的要求，建置及設訂定本層防護機制。並制定標準作業程序，由資訊中心的人員執行日常的維運工作。這個團隊會負責安裝、設定系統環境，並負責日常維運。

B.第二層防護: 資安評估團隊 - 此團隊設計、規劃並監控各項資安政策，來確保第一層防護作業能夠落實，並能起到保障效果。資安評估團隊也會負責部屬相關控制工具及專案。

C.第三道防線: 內部稽核提供具獨立客觀之觀點來審核第一、二層防護機制及控制作業，並給予他們反饋。

D.企業資訊安全風險管理與持續改善架構：本公司每半年都會重新盤點該半年內所遇到的潛在資安風險，由資訊部門調整相關政策並交由作業團隊執行。

四、具體管理方案

本公司的資通安全管理政策涵蓋的內容包括個人、敏感、機密資料之處理。並且此政策定期的被檢查與公告給全體員工。在管理政策上針對資料安全和電腦使用相關法規而擬定。本公司也會委外採購第三方廠商的資訊服務。在合約內容中，均有保密協定的條款，確保我們雙方在資安、個資方面都有法律上的保障。有關管理方案包含：

A.員工資通安全措施方面，新員工報到時，若該員工需要登入公司網路，存取部門檔案資料、收發郵件或是登入ERP 和 BPM系統，由該部門文書填寫資訊服務申請單，協助新進員工申請AD帳號、密碼及進入各系統的權限。資訊部收到申請單後，附上資訊安全宣導內容。該員工確認相關帳號、密碼無誤及詳閱資訊安全宣導內容之後，於資訊服務申請單上簽名繳回資訊部。對於AD帳號及ERP帳號密碼定期強制更換。於各部門公告欄張貼資訊安全宣導內容，資訊部每季會以郵件發送該內容，提醒同事注意資通安全。

B.設備保護方面，實體機房及數據中心皆有門禁管制及記錄，並且有監視器錄影，能記錄其出入口及周遭環境。每次的作業紀錄、更改紀錄，我們也有管控，以確保隨時都能稽核相關人員的操作。機房的溫度也保持在適合主機運行的溫度範圍內。也有網路監管設備及系統，監控公司網路的狀態並檢查資通安全的紀錄。

C.資料保護方面，本公司的對外網路皆有防火牆保護，並定期更新防火牆的防駭及防毒軟體。對於個人電腦的防毒及防駭軟體，會統一管理更新到最新的版本。在汰換舊有電腦時，會將電腦的硬碟及主機外殼分別處理。硬碟由資訊部集中管理，主機則交由回收商處理。對於正式運行之環境的權限只設定給限定人員，並將環境分成開發、測試、正式環境，以確保資料的安全。在 ERP及 BPM 等核心系統，除了在地端機房內每日備份外，同時上傳雲端，落實異地備份作業。

D.在身分驗證方面，本公司在人員進、出入公司的流程上負責其中一環的作業內容，以確保相關的身分都會被設定妥當。針對所有身分，都有設定名字，確實記錄人員的出入資訊，以備稽核查詢，並於週期性的盤點各系統上的帳號，確保只有在業務上是有必要的人員才能登入。

五、投入資通安全管理之資源

本公司深知資通安全對公司營運的重要性，每年編列預算在防駭、防毒軟體的更新，防火牆的維護、資訊人員在資安上的培訓及資安系統上的增強等，其中包含人力及設備。本年度建置異地備援機制，更進一步的加強突發事件的應變及維持廠內能夠持續運作的機制。