字級:
小字級
中字級
大字級

重要內規

資訊安全管理辦法

一、適用範圍

有關資訊安全之事項,除另有規定外,悉依本辦法辦理。

二、資訊安全組織

為落實資訊安全管理,公司應成立資訊安全組織,成員應含公司高階主管,負責推動、協調及督導下列資訊安全管理事項:

()資訊安全政策之核定及督導。

()資訊安全責任之分配及協調。

()資訊資產保護事項之監督。

()資訊安全事件之檢討及監督。

()其他資訊安全事項之核定。

()定期召開資訊安全會議。

三、帳號管理

()資訊系統均需有帳號及密碼登入管理功能,依業務功能不同,區分帳號種類,每一種類每一同仁使用一組帳號及密碼。

()使用者須妥善保管個人帳號、密碼,密碼至少六個字元及應三個月更換乙次。個人密碼應絕對保密,若發現外洩應即更改,以確保資訊安全。

()同仁異動經權責主管核定後,應依其異動狀況停用或刪除其帳號及許可權。

四、資料存取

()系統資料庫由資料庫管理者依使用者群組訂定不同使用權限,無權限者不得直接存取資料庫內容。

()系統應依資料之重要性設定安全機制,並應可追蹤資料流及使用者操作記錄。

()系統資料儲存異常時,應有自動警報或回復功能。

()資料依重要性區分,設定不同的保存或銷毀期限,除另有規定外,保存期限至少為五年以上。

()使用單位經由系統所取得之機密性資料均應嚴加管制,限制傳閱、影印、複製、攝影、轉出或以其他方式記錄。

()系統資料轉出應填寫「資訊服務單」,經權責主管核定後始得辦理。

()系統存取及應用之監督

1、應建立及製作異常事件及資訊安全事項的稽核軌跡,並妥善保存,以作為日後調查及監督之用。

2、系統稽核軌跡應包括下列事項:

(1)使用者識別碼。

(2)登入及登出系統之日期及時間。

(3)儘可能記錄端末機的識別資料或其位址。

五、網路安全管理

()網路應安裝監控系統,監控通訊線路、通訊協定、資料流量、資料內容及使用物件,由資訊部門指定專人辦理。

()重要伺服器均應裝置於公司受到保護的網路內,內、外網路須安裝安全防護設備(防火牆)區隔,並依業務所需設定安全存取權限。

()防火牆安全權限之異動申請,經資訊部門核定後,由專責人員修改,並紀錄異動歷程。

()資訊部門應定期檢討防火牆安全權限及電腦網路安全事項,並應建立網路入侵偵測系統,以有效偵測惡意入侵事件。

()經由公眾網路傳輸機密資料時,應採取資料加密機制。

()防火牆系統軟體,應定期更新版本,以因應各種網路攻擊。

()憑證安全管理

1、資訊平台與外部連結時,須建置憑證金鑰。

 2、憑證金鑰之產生、儲存、使用、備份、銷毀、更新及復原作業等,應建立嚴格的安全管理機制。

六、系統原始碼管理

()資訊系統之相關原始碼,應依機密等級給予適當安全屬性,不同安全屬性之文件應分開,並以相對應的安全措施加以保存。

()調閱相關原始碼須經資訊部門主管核定並記錄。

七、備份作業管理

()為確保集團資訊系統之資料完整與正確,應設有三層備份資料保護機制,確保災害發生時,能根據不同等級的損害進行資訊資料的重建工作。

1、本機資料備份:存放於運行中的主機上。

2、異機資料備份:存放於同機房的其他主機上。

3、異地資料備份:存放於異地機房。

()資訊部門應依業務及重要性設定系統完整之備份計劃,且須設定密碼後方能執行,並詳細記錄主機名稱、日期、起迄時間、內容、編號、狀態、保存位置及操作人員。

()備份軟體須確保備份資料的完整性及安全性。

()備份以磁帶為主,其他媒體為輔,並須存放於隔熱防火、防潮整潔之場所,且應與主機異地安全保存。

()重要資料的新舊備份,均應依政府法令規範時效保存。

()備份資料應依系統特性及重要性安排回復測試作業,並詳細記錄主機名稱、日期、起迄時間、內容、編號、步驟、狀態、結果及操作人員。

()資訊部門應定期演練備援作業程序,以便發生災害或儲存媒體失效時,可迅速回復正常作業。

八、資訊系統可用性管理

()監控機制

1、需設有監控平台,可隨時監看當下系統妥善狀態。

2、每月定期提供系統可用性報表。

()異地備援

1、應訂定異地備援計劃。

2、備援地點不可與運作中的機房為同一棟大樓,且須具備運行系統服務的硬體設備。

()災害復原

1、應訂定災害復原計劃。

2、資訊系統災害復原需每半年定期演練,過程需有文件和紀錄備查。

九、病毒防治

()公司所有伺服器主機、個人電腦、筆記型電腦均應安裝規定之防毒軟體,掃毒紀錄應由專人每日檢視,並採取必要之措施;所有伺服器亦應按月執行掃毒作業,並將紀錄留存備查,以防制及偵測電腦病毒與惡意軟體等的侵入。

()使用防毒軟體,應依下列原則辦理:

1、定期更新版本及病毒碼。

2、定期或即時掃描電腦系統及資料儲存媒體。

3、使用之防毒軟體由資訊部門審核後,方可使用。

4、對來路不明及內容不確定的資訊媒體,應在使用前詳加檢查是否感染電腦病毒。

5、定期將必要的資料及軟體予以備份。

()電腦設備如遭病毒感染,應立即離線(拔除網路線連結),並通知資訊人員處理,直到確認病毒已消除後,方可重新連線。

十、個人資料保護

資訊系統之運作功能及資料存取應符合個人資料保護規範,依據「個人資料保護作業要點」相關規定辦理。

十一、實體及環境安全管理

資料中心及機房之安全管理,依「資訊機房管理辦法」相關規定辦理。

十二、資安遵守

()資訊部門應制定系統使用規範,並防止內、外非相關人員取得機密資訊或影響系統正常運作;同仁不得利用系統進行非正常或未經許可之作業,以獲取不當之資訊或利益。

()同仁應遵守公司資訊安全政策之相關規定,違者按情節輕重依「同仁獎懲辦法」相關規定予以處分。

()同仁應遵守業務機密之相關法令規定,在職及離退職後均不得洩漏所知悉之資訊機密,或為不當之使用,違者按情節輕重依「同仁獎懲辦法」相關規定予以處分,必要時並得追究相關法律責任。

十三、施行日期

()本辦法於二○一○年四月一日整合制定。

()本辦法於二○一九年十一月一日第一次修正。

TOP
最新訊息

給你最美好的「辦公」社交距離!

疫情升溫下,一套可提升工作效能且更健康安全的「非接觸式辦公設備」是讓企業保持社交距離下,維持生產力的秘訣。

現在,就讓互盛協助您打造安全、高效的「零接觸」辦公流程,持續陪伴您健康辦公每一天。

零接觸_遠距辦公設備_遠距辦公工具

立即了解:零接觸辦公設備!遠距辦公工具大集合

關閉