公司治理

資訊安全管理

目的

為有效管理資訊及資訊設備使用安全,特訂立資通安全辦法,作為相關資訊設備使用、網路安全、設備安全及軟體應用安全的管理辦法,本辦法共分三個章節,依性質及管理目的分為「網路安全」、「電腦設備安全」及「應用軟體安全」。

共同規範

  • 名詞解釋與縮寫符號:描述在各文件中所使用到的特殊名詞、縮寫符號與簡稱。定義用字需解釋清楚、縮寫符號則需說明全文及其意義,並以英文字母順序表列。
  • 參考文件資料:參考資料項目為一般國際標準文件所必需,記載並說明各文件中所參考引用之文獻及範例,軟體專案之文件,組織及作業手冊之編號、標題、改訂版、與日期,及其他相關的文件等。

名詞定義

資訊資產:

  • 指為維持本公司資訊業務正常運作之硬體、軟體、服務、文件及人員。
  • 保護對象不僅限於本公司自有,亦包含自顧客端取得,及將提供予顧客者。

業務持續運作之資訊環境:

  • 係指為維持本公司各項業務正常運作所需之電腦作業環境。

一、網路安全管理

為使本公司各級單位充分有效使用網路資源,特訂立此管理辦法。

電腦網路使用與資訊安全管理:

  • 電腦網路使用以網域帳號及密碼控管。
  • 禁止將帳號與密碼交付他人運用,並不得使用他人帳號與密碼登入電腦,離職時由資訊單位將密碼帳號刪除。
  • 禁止利用點對點軟體分享下載資料或將公司內電腦資料夾開放讓外部人員分享使用。
  • 網路使用者應關閉網路資源分享功能,防止資料外流,並不得以任何手段蓄意干擾或妨害網路系統正常運作。
  • 禁止利用網路散播病毒、發表毀謗言論、傳送色情圖片等不當行為。
  • 網路使用者應尊重智慧財產權,使用者避免下列可能涉及侵害智慧財產權之行為:

    • 禁止來路不明或未經授權之電腦程式。
    • 禁止下載、拷貝受著作權法保護之著作。
    • 禁止未經著作權人同意,將受保護著作資料上傳於公司外部公開網站或其他社交軟體中。
    • 其他線上討論區上之文章,經作者明示禁止轉載,則禁止任意轉載或轉寄。
  • 廠商進行維護時應必要的事前預防及保護措施,以預防及偵測電腦病毒、木馬及邏輯炸彈等惡意軟體之侵入。
  • 為避免網路使用者不慎違反本公司相關網路安全規定,網路管理人員可考慮以相關網路技術以不干擾正常網路使用為原則下,主動管制違反本公司相關網路規定之使用者。

電子郵件安全管理:

  • 郵件軟體應關閉信件預覽功能。
  • 來路不明電子郵件不宜任意開啟,以免啟動駭客惡意執行檔。
  • 敏感性或具保密需求之郵件,應採取適當加密措施。
  • 禁止以匿名信或偽造他人名義發送電子郵件。

二、電腦設備安全

為使本公司各級單位充分有效使用及管理電腦設備,特訂立此管理辦法。

伺服器主機安全管理:

  • 電腦伺服器主機設備應妥善保管,並以帳號密碼控管。
  • 伺服器主機除由系統維護人員基於業務需要執行啟動及操控外,其他人員不得擅自操作。
  • 電腦伺服器專用電源插座,不得使用於電腦以外之設備,以免耗用不斷電系統電源,造成跳電當機,影響電腦正常運作。
  • 電腦伺服器周圍環境不得攜入或存放磁性、放射性、易燃性及易爆性物品,並嚴禁嬉戲、吸菸及飲用食物。
  • 伺服器機房均需有適當門禁管制,除系統操作人員外,其餘進出人員均需登記。

個人電腦設備安全管理:

  • 電腦應使用專用電源延長線,避免與其他電器用品共用插座,以免電力無法負荷導致火災等危害安全情事。
  • 個人電腦設備應維持整潔,電腦風扇出口禁止雜物阻擋,並注意通風,以維安全。
  • 使用個人電腦設備應盡善良保管人維護責任,禁止任意拆卸或安裝硬體。
  • 個人電腦於下班或公出時應關機以維設備安全。
  • 個人電腦及其相關設備均需造冊管理,定期盤點,以防人員不符規定的攜出。

電腦設備作業系統安全管理:

  • 電腦設備作業系統及相關伺服器軟體應適時適當的更新軟體及進行漏洞修補。
  • 電腦設備作業系統應安裝防毒軟體並定期更新病毒資料庫。

個人資訊安全管理:

  • 敏感性或具保密需求之資料應採檔案加密,存放辦公室固定電腦為主,並注意實體隔離,勿存放於隨身儲存設備中。
  • 若需公務電腦資料攜回家中處理,應先將隨身儲存設備中之敏感性或具保密需求資料刪除,以維安全。
  • 同仁經由網際網路下載檔案或使用隨身碟(USB)應立即進行病毒掃描,確認安全無毒後才可使用。

三、應用軟體安全

本措施在於管理本公司應用軟體安全,並做有效應用與管理。

  • 軟體購置與使用,應採用合法授權軟體,同時符合智慧財產權相關法規規定。
  • 一般性應用軟體採購可依需求提出申請,並由資訊單位彙整,經核定後依採購程序辦理,購置後統一由資訊單位納入管理。
  • 購入之軟體應配合資訊財產管理人員統一列冊管理,有關授權證明、原版程式及使用手冊由資訊單位妥善儲存與管理。
  • 列冊管理之軟體依需要提供各單位使用,並應登錄使用者單位、姓名及使用日期等相關資料供管理參考。
  • 採購應用軟體與系統、資料庫及程式開發等應用程式,應注意所有輸入欄位應有字元檢查功能,排除不必要特殊字元,以防止資料庫隱碼(SQL-Injection)及其他網路攻擊。