資通安全
負責單位:資訊部
◎資通安全風險管理架構
依110.12.28金融監督管理委員會函令,本公司已建立公司之資通安全風險管理架構,包括設置專責資通安全單位、專責資安主管、專責資安人員,向董事會進行業務報告,且已於台灣證券交易所申報系統完成上市公司資安人員申報作業。
◎資通安全資源投入
本公司2025年度於資通安全領域之投資達約新台幣884萬元,設置專責資安主管1人、專責資安人員1人,並於每月進行1次定期會議,本公司亦已加入TWCERT/CC(台灣電腦網路危機處理暨協調中心)之資安聯盟(台灣CERT/CSIRT聯盟)會員,持續接收並分享相關資安情報,以加強公司資通安全。
01.人員管理及資訊安全教育訓練
- 對資訊相關職務及工作,應進行安全評估,並於人員進用、工作及任務指派時,審慎評估人員之適任性,並進行必要的考核。
- 針對管理、業務及資訊等不同工作類別之需求,應定期辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提昇資訊安全水準。
- 各單位主管及各級業務主管,應負責督導所屬員工之資訊作業安全,防範不法及不當行為。
02.電腦系統安全管理
- 辦理資訊業務委外作業,應於事前研提資訊安全需求,明定廠商之資訊安全責任及保密規定,並列入契約,要求廠商遵守及定期考核。
- 對系統變更作業,應建立控管制度,並建立記錄,以備查考。
- 複製及使用軟體應依相關法規或契約規定,並建立軟體使用管理制度。
- 為確保系統正常運作,應採行必要的事前預防及保護措施,偵測及防治電腦病毒及其他惡意軟體。
03.網路安全管理
- 開放外界連線作業之資訊系統,應視資料及系統之重要性及價值,採用資料加密、身分鑑別、電子簽章、防火牆及安全漏洞偵測等不同安全等級之技術或措施,防止資料及系統被侵入、破壞、竄改、刪除及未經授權之存取。
- 與外界網路連接之網點,應以防火牆及其他必要安全設施,控管外界與內部網路之資料傳輸及資源存取。
- 利用網際網路及全球資訊網公佈及流通資訊,應實施資料安全等級評估,機密性、敏感性及未經當事人同意之個人隱私資料及文件,不得上網公佈。
- 訂定電子郵件使用規定,機密性資料及文件不得以電子郵件或其他電子方式傳送。
04.系統存取控制
- 系統存取政策及各級人員之存取權限應予明確規定,並以書面、電子或其他方式告知員工及使用者之相關權限及責任。
- 離(退)職人員,應立即取消各項資訊資源之所有權限,並列入離(退)職之必要手續。人員職務調整及調動,應依系統存取授權規定,限期調整其權限。
- 為加強作業系統之安全管理,應建立系統使用者註冊管理制度,並落實使用者通行密碼管理,使用者通行密碼之更新周期,最常以不超過六個月為原則。
- 對系統服務廠商以遠端方式進行系統維護者,應加強安全控管,並建立人員名冊,課其相關安全保密責任。
- 為維護資訊安全,應建立資訊安全稽核制度,定期或不定期進行資訊安全稽核作業。
05.系統發展及安全維護管理
- 自行開發或委外發展系統,應在系統生命周期之初始階段,即將資訊安全需求納入考量;系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體、暗門及電腦病毒等危害系統安全。
- 對廠商之軟硬體系統建置及維護人員,應規範及限制其可接觸之系統與資料範圍,且使用完畢後應立即取消其使用權限。
- 委託廠商建置及維護重要之軟硬體措施,應在本公司相關人員監督及陪同下始得為之。
06.資訊資產安全管理
- 定義為"軟體"、"硬體"之資訊資產,應建立清單目錄,並應包含資產的項目、品名、使用者等資訊,以利管理
- 定義為"資料"之資訊資產,應建立保護措施。
- 存有"資料"之硬體資訊資產,應原則禁止攜出公司,如為故障或報廢設備需攜出,應確實進行資料清除動作,以確保機敏資料安全。
07.實體及環境安全管理
- 就資訊相關設備安置、周邊環境及人員進出管制等,應訂定實體及環境安全管制措施。
08.業務永續運作計畫之規劃與管理
- 應訂定業務永續運作計畫,評估各種人為及天然災害對業務運作之影響,訂定緊急應變及回復作業程序及相關人員之權責,並定期演練及調整更新計畫。
- 為維持業務正常運作,對資訊安全事件應建立緊急處理機制,在發生資訊安全事件時,立即向資訊單位或人員通報,採取反應措施,如有必要聯繫檢警單位協助偵查。