有鑒於目前資安新興趨勢,如勒索軟體、木馬程式、社交工程攻擊、偽冒網站等,本公司總管理處資訊中心,隨時關注網路重大資安議題並即時規劃因應計畫,以期能在第一時間即時偵測到並完成阻擋,同時不定期向董事會報告資安治理概況,本公司因應措施如下:
- 公司人員使用電腦、網路、系統之前,須先向總管理處資訊中心申請使用資訊系統權限使用(停用)申請單以申請帳號及使用各項系統之權限等級。
- 隸屬全公司之資訊作業系統(操作系統、應用軟體)由總管理處資訊中心統一規劃,使用部門不得自行任意修改及增加既定作業模式。
- 非屬於作業系統(視窗、DOS)本身的程式皆屬之,非經總管理處資訊中心同意或由總管理處資訊中心人員安裝,其它人員不得任意安裝設定。
- 應定期檢討及評估個人電腦及公司主機各項軟、硬設備的安全性,以確保其符合本資訊安全標準;評估對象應包括作業系統更新之評估,以確保系統軟體及硬體的安全措施,正確及有效地執行。
- 引進及啟用新資訊科技(如軟體、硬體、通信及管理措施等),應於事前進行安全評估,瞭解新資訊科技之安全保護措施及水準,並依本司行政程序經總管理處資訊中心人員核淮,始得引用,以免影響既有的資訊安全措施。
- 公司行政網路之電腦、印表機、集線器、備份設備、路由器、網路路徑及其他相關週邊設備,隸屬總管理處所管轄;使用單位若有移動、斷電或其它需求,須事先知會總管理處,由總管理處資訊中心人員決定是否可做上述作業需求。
- 支援資訊作業的相關設施如影印機、傳真機等,應安置在適當的地點,以降低未經授權的人員進入管制區的風險,及減少敏感性資訊遭破解及洩漏的機會。
- 公司人員使用網路系統,不得存檔非法之程式資料及未經總管理處資訊中心核可之程式資料(可存檔文字檔、驅動程式)。
- 個人所使用公司分配之電腦設備、資料或軟體,在沒有總管理處資訊中心人員書面授權的情形下,不得被帶離辦公室。
- 於公司內部主機伺服器(Server)上所開放資料夾必須經由總管理處資訊中心同意及開放。
- 主機伺服器(Server)上所開放使用之部門或個人專屬資料夾,屬於部門或個人備份(Backup)資料使用,不得存放個人的私人資料及檔案,總管理處資訊中心不定時執行清理檢查,且個人不得主張向公司求償。
- 總管理處可限制個人檔案使用限額,以避免主機伺服器(Server)空間超額致造成主機伺服器(Server) 無法使用。
- 個人如有不法用途,或存放損害著作權等相關數位文件檔案,一經查獲確認無誤,總管理處資訊中心可自行刪除,且個人不得主張向公司求償並須自負相關法律責任。
- 對於程式、檔案之存取使用,均由總管理處資訊中心於主機伺服器(Server)上統一依照相關使用權限控制與管理。
- 總管理處資訊中心系統管理人員,應隨時注意及觀察分析系統資源使用狀況,包括處理器、主儲存裝置、檔案儲存、印表機及其他輸出設備及通信系統之使用狀況;管理人員應隨時注意上述設備的使用趨勢,尤應注意系統在業務處理及資訊管理上的應用情形。
- 防火牆設置僅允許內部網路連外使用標準通訊(Port),網站造訪、電子郵件收發等;上述特殊需求須經總管理處資訊中心同意開放及使用。外部網路無法造訪內部網路之主機伺服器(Server)、資料庫等網路系統,防止外部駭客進入本公司內部網路。若有特殊業務需求,須報請總管理處資訊中心說明用途,並提供固定IP加入白名單或由總管理處資訊中心人員協入安裝VPN,以確保本公司內部網路安全。
- 針對遠端桌面、遠端連線控制軟體TeamVewer,Anydesk…等,及其它透過VPN連線軟體需經總管理處資訊中心登記及安裝始可使用。
- 含有儲存媒體的設備項目(例如硬碟、備份光碟、磁帶等),應在報廢處理前詳加檢查,以確保任何機密性、敏感性的資料及有 版權的軟體已確實移除。
- 本公司因應措施得應各種資訊安全之變更,隨時補充及修正。
|