公司治理運作情形

資訊安全組織管理

為確保公司資訊安全管理制度之資訊安全責任,落實資訊安全政策之推行。在組織內部建立管理框架以啟動與控制資訊安全的實施。建立有管理領導層參加的管理小組,以核准資訊安全政策、分配安全責任、並協調實施全組織的安全措施。資訊安全委員會(Cyber Security Committee)由研發長擔任召集人,下設資訊安全應變中心與資訊安全執行小組,負責資訊安全管理、規劃、督導及推動執行。資訊安全委員會每年定期開會,審查公司資訊安全管理相關事宜及檢討資訊安全政策執行情形,並向董事會報告查核結果。

資訊安全組織架構與工作職掌:

  • 資訊安全委員會:由研發長擔任召集人;下設資訊安全應變中心與資訊安全執行小組,負責資訊安全管理制度相關事項之決議執行。
  • 資訊安全執行小組:由資訊安全委員會召集人指派人員組成,負責規劃及執行各項資訊安全作業。
  • 資訊安全應變中心:針對非預期資訊安全事件,建立相對應的解決辦法,收集軌跡與事件鑑定。「風險改善計畫」彙整與控管,持續追蹤至完成改善為止。

資訊安全政策及具體管理

為增進本公司資訊安全及穩定之運作,提供可信賴之資訊服務,包含使用網路與資訊系統時,必須控管的安全注意事項,防止公司資訊系統及其資料遭不當使用、洩漏、竄改、破壞等營運風險與危害,同時提升用戶端資安意識;本公司分三個面向建構出全方位的資安防護能力,具體管理辦法如下:

A. 人員管理
為強化同仁對資訊安全的認知,每年定期會透過教育訓練,建立用戶端資訊安全概念。對於與資訊系統有接觸的人員,規定個人對資訊系統的使用權限和責任歸屬管理如下:

  1. 使用人員
    賦予使用人員存取資訊系統之權限,應僅限於執行法定任務,若違反資訊安全規定之行為,應告知相關人員,俾利其遵循。使用單位人員離(休)職時,應依規定取消其使用機關內資訊資源之所有權限。使用單位人員應遵守公司相關保密規定,約定在職期間或離職後均不可洩漏機密資料。
  2. 資訊系統管理人員
    提供使用者個別的安全屬性,包括等級、部門等影響其所能接觸資料的因素。資訊系統內部使用者的權限必須與其實際職務之權限相配合。資訊系統內部使用者帳號之建立、終止和刪除必須經由權責部門主管核准。
  3. 網路使用人員
    不允許使用者將自己的登入身份與登入網路密碼供他人使用及禁止以任何方法竊取其他合法使用者的登入身份與登入網路密碼、禁止存取網路上未經許可的檔案或企圖獲得存取的權限、不准持有色情或猥褻檔案,並禁止在網路上散播色情文字、圖片、影像、聲音等。
  4. 網路系統管理人員
    網路系統管理者應負責網路安全政策的制定與執行,及網管工具系統設定與操作,以確保各單位內部系統主機與資料的安全與完整。對任何網路安全違例事件,網路系統管理者應立即向單位主管反應。網路系統管理者不得新增、刪除、修改稽核資料檔案,以避免安全違例發生時,追蹤查詢的困擾。

B. 軟體及資料管理

  1. 軟體維護
    設有專人負責維持資訊系統的正常運作,資訊系統的變更須經過權責單位核定,並應妥善管制記錄變更的過程以備查詢。軟體安裝需經申請,透過資訊人員安裝,並留下紀錄以備查詢。
  2. 資料管理
    各類資料因其特性及內容不同,給予不同的公開或銷毀期限。各類資料建檔若因資料量過於龐大而必需委外處理時,應先行通報權責單位核准。資訊檔案若因特殊原因外借時,須確保其外借機關之安全屬性符合其所接觸資料之安全等級。任何先前遺留的資訊內容,一旦遇到新的資源配置時,應立即刪除。
  3. 資訊流控制對應措施
    為嚴密監視系統中的資訊流,以確保資訊流的安全。其中系統中資訊流的合法性將受資訊系統的監控,以防範非法的資訊流傳輸。
  4. 內部資料傳輸
    系統內部施行存取控制和資訊流控制,以確保使用者資料的安全。資訊系統管理者將依據各授權原則提供各資料保護方式,以確保各個分離子系統在傳輸資訊時的安全性。
  5. 資料保全系統
    備份:透過定期排程或手動的操作,確保原資料因故損壞時能有複本資料可供系統回覆,以降低資料損壞所造成的衝擊。
    備援:透過硬體或軟體的技術,將指定的資料複製,以確保原資料在毀損時能有另一複製的資料能供系統使用,保持系統服務能持續而不致中斷。

C. 實體及網路管理

實體及網路管理包含硬體資源和電腦網路的管理:

  1. 電腦設備保護
    資訊系統的硬體設備應放置在適當的場所。電腦機房之安全維護應指派專人負責。資訊系統的重要硬體設備應限制其接觸人員,必要時可加裝監視或門禁設施。電壓不穩地區應加裝穩壓設備或不斷電系統。
  2. 網路連線作業
    資訊系統中各主體之對外連線作業須受到適當的管制和稽核。網路應加裝防火牆以保護內部系統及資訊。各單位提供給內部人員與各單位業務有關人員經由遠端登入內部網路系統的網路服務,應作嚴謹的身份辨識。
  3. 登入網路密碼管理:
    使用者登入代碼和登入密碼對每一合法使用者是絕對唯一。密碼設定須符合複雜度需求原則。登入密碼檔案必須儲存於安全隱蔽之處,並加密處理。登入密碼需定期更改,以提高安全性。
    嘗試登入數次失敗後,應暫停使用者帳號,並將失敗登入記錄於稽核檔中,以便日後查詢。使用者在規定期限內若無使用其帳號,網路系統管理者應暫停使用者之帳號。
  4. 傳輸資料加密
    資訊系統提供加密機制,資訊系統應可調整或選擇所使用的加密機制。
  5. 軟體輸入控制
    各單位網路使用者禁止使用非法軟體。要求各單位應在網路上各檔案伺服器安裝防毒軟體,防止病毒在網路上擴散。使用者如偵測到病毒入侵,應馬上通知網路管理者。網路管理者須告知使用者受病毒感染的資料及程式,避免病毒的擴散。如有機器遭受病毒感染,應立即與網路離線,直到網管人員確認病毒已移除,才可重新與網路連線。