公司治理

3.1.1.資訊部門之職責：

3.1.2.資訊安全之執行單位：

3.2.1.資訊分級依『機密文件分類管理辦法』為資訊安全等級之分類標準。

3.2.2.配合資訊分級及風險評估，建立一套符合需要的資訊保護措施。

4.1.1.對於可存取機密性、敏感性資訊或系統之員工依業務權責與職稱區分。

4.2.1.員工必須瞭解單位之資訊安全政策。

4.2.2.隨時公告資訊安全相關訊息。

4.2.3.不定期派員參與外界舉辦相關訓練、研討會、產品發表會。

4.3.1.發生資訊安全事件，應通報資訊部門人員，並記錄處理與追蹤。

5.1.1.電腦機房，系統作業區域及其它重要地區，對於進出人員必須由管理人員作必要之限制及監督其活動。

5.1.2.進出機房時需要填寫＂人員進出機房登記表＂需詳細填寫登記表內容外，進出機房需有資訊人員陪同。

5.1.3.儲存媒體依保存規範要求存放在安全的環境。

5.1.4.機房內外設有監視器，監控機房內外及進出人員，儲存錄影檔案最少30天。

5.2.1.攜帶型的電腦設備訂有嚴謹的保護措施，以防止設備遺失造成資料外洩。

5.2.2.訪客所攜帶之資訊設備 Notebook，非經允許不得連上公司內部網路。

5.2.3.應建立管理機制以確保所有之 Notebook、PC 的作業系統及病毒瑪都有即時更新。

6.1.1.應建立電腦網路系統的安全控管機制，以確保網路傳輸資料的安全，保護網路連線作業，防止未經授權的系統存取。

6.1.2.網路使用者之管理：

被授權的網路使用者，只能在授權範圍內存取網路資源，不得將自已的登入身份識別與登入網路的密碼交付他人使用。禁止使用違反著作權、善良風俗或會妨害網路系統的正常運作之不法或不當的資訊。

6.1.3.防火牆之安全管理：

公司網路分別為內網與外界公眾網路連接的網點。防火牆系統及管控機制應依資料安全等級、網路設備更動等情況定期檢討，以因應各種新型態網路攻擊。

6.1.4.軟體下載控制：

經由網際網路下載軟體或資料檔案，在確認安全無虞及不違反智慧財產的前提下，方得安裝執行。

6.2.1.存放機密性及敏感性資料之伺服器主機，除作業系統既有的安全設定外，應規劃安全等級較高之Firewall or IDP 保護，防制非法使用者登入主機進行盜取、破壞等情事。

6.2.2.負責重大營運的系統主機，必須考慮高可靠度系統的建立，避免網路攻擊及干擾

6.3.1.應依資訊安全政策及規定，明訂電子郵件的使用規定。

6.3.2.應建立電子郵件的安全管理機制，以降低電子郵件可能帶來的業務上及安全上的風險。

6.4.1.公司對外開放之連線資訊系統，應作適當的安全防護以及隔離，避免外界直接進入資訊系統或資料庫存取資料。

6.4.2.應考量網際網路新技術的可能安全弱點，並採取適當的防護措施以確保內部網路安全。

6.4.3.當伺服器執行之應用程式需接收使用者回傳資料時，應防被置入破壞性指令或程式。

6.4.4.當無法使用正常網路時，應設置替代網路、備援連線電路，保持通訊的連續性。

6.4.5.對於非業務相關之網路活動應公告規定禁止，並以應用軟體加以管理。

6.5.1.無線網路的使用應加上必要之安全管理機制。

7.1.1.使用者存取權限的檢視，訂有申請管制程序。

7.1.2.對於使用者註冊資料，隨時更新並保留相關文件資料：

7.1.3.密碼的使用須依規定的期限每90天變更密碼。

7.1.4.依環境或業務需要，於網路防火牆，做適當之設定。

7.1.5.限制登入作業，在一定期間未操作時，即予中斷連線。

7.1.6.對於系統的登入及使用，都留有紀錄(LOG FILE)，並有專人定期檢視是否有異常狀況。

7.1.7.軟體安裝完畢後須立即更新廠商所預設之密碼。

7.1.8.對風險性高的應用程式必須限制其連線作業需求。

7.1.9.網路共用磁碟機皆依各部門群組劃分設定權限管理，若權限異動需填寫“電腦業務需求表”轉呈電子簽核主管單位同意後，由資訊部門協助修改。

7.1.10.個人電腦在未使用時間達到5分鐘即啟動螢幕保護程式，解除時需輸入帳號密碼，以防止電腦資料在未經同意時遭他人使用。

7.1.11.各電腦系統的USB PORT依業務需要開放或取消，以防止透過USB裝置存取公司電子資料。