资通安全
负责单位:资讯部
◎资通安全风险管理架构
依110.12.28金融监督管理委员会函令,本公司已建立公司之资通安全风险管理架构,包括设置专责资通安全单位、专责资安主管、专责资安人员,向董事会进行业务报告,且已于台湾证券交易所申报系统完成上市公司资安人员申报作业。
◎资通安全资源投入
本公司2025年度于资通安全领域之投资达约新台币884万元,设置专责资安主管1人、专责资安人员1人,并于每月进行1次定期会议,本公司亦已加入TWCERT/CC(台湾计算机网络危机处理暨协调中心)之资安联盟(台湾CERT/CSIRT联盟)会员,持续接收并分享相关资安情报,以加强公司资通安全。
01.人员管理及资讯安全教育训练
- 对资讯相关职务及工作,应进行安全评估,并于人员进用、工作及任务指派时,审慎评估人员之适任性,并进行必要的考核。
- 针对管理、业务及资讯等不同工作类别之需求,应定期办理资讯安全教育训练及宣导,建立员工资讯安全认知,提升资讯安全水准。
- 各单位主管及各级业务主管,应负责督导所属员工之资讯作业安全,防范不法及不当行为。
02.电脑系统安全管理
- 办理资讯业务委外作业,应于事前研提资讯安全需求,明定厂商之资讯安全责任及保密规定,并列入契约,要求厂商遵守及定期考核。
- 对系统变更作业,应建立控管制度,并建立记录,以备查考。
- 复制及使用软体应依相关法规或契约规定,并建立软体使用管理制度。
- 为确保系统正常运作,应采行必要的事前预防及保护措施,侦测及防治电脑病毒及其他恶意软体。
03.网路安全管理
- 开放外界连线作业之资讯系统,应视资料及系统之重要性及价值,采用资料加密、身分鉴别、电子签章、防火墙及安全漏洞侦测等不同安全等级之技术或措施,防止资料及系统被侵入、破坏、窜改、删除及未经授权之存取。
- 与外界网路连接之网点,应以防火墙及其他必要安全设施,控管外界与内部网路之资料传输及资源存取。
- 利用网际网路及全球资讯网公布及流通资讯,应实施资料安全等级评估,机密性、敏感性及未经当事人同意之个人隐私资料及文件,不得上网公布。
- 订定电子邮件使用规定,机密性资料及文件不得以电子邮件或其他电子方式传送。
04.系统存取控制
- 系统存取政策及各级人员之存取权限应予明确规定,并以书面、电子或其他方式告知员工及使用者之相关权限及责任。
- 离(退)职人员,应立即取消各项资讯资源之所有权限,并列入离(退)职之必要手续。人员职务调整及调动,应依系统存取授权规定,限期调整其权限。
- 为加强作业系统之安全管理,应建立系统使用者注册管理制度,并落实使用者通行密码管理,使用者通行密码之更新周期,最常以不超过六个月为原则。
- 对系统服务厂商以远端方式进行系统维护者,应加强安全控管,并建立人员名册,课其相关安全保密责任。
- 为维护资讯安全,应建立资讯安全稽核制度,定期或不定期进行资讯安全稽核作业。
05.系统发展及安全维护管理
- 自行开发或委外发展系统,应在系统生命周期之初始阶段,即将资讯安全需求纳入考量;系统之维护、更新、上线执行及版本异动作业,应予安全管制,避免不当软体、暗门及电脑病毒等危害系统安全。
- 对厂商之软硬体系统建置及维护人员,应规范及限制其可接触之系统与资料范围,且使用完毕后应立即取消其使用权限。
- 委托厂商建置及维护重要之软硬体措施,应在本公司相关人员监督及陪同下始得为之。
06.资讯资产安全管理
- 定义为"软体"、"硬体"之资讯资产,应建立清单目录,并应包含资产的项目、品名、使用者等资讯,以利管理
- 定义为"资料"之资讯资产,应建立保护措施。
- 存有"资料"之硬体资讯资产,应原则禁止携出公司,如为故障或报废设备需携出,应确实进行资料清除动作,以确保机敏资料安全。
07.实体及环境安全管理
- 就资讯相关设备安置、周边环境及人员进出管制等,应订定实体及环境安全管制措施。
08.业务永续运作计画之规划与管理
- 应订定业务永续运作计画,评估各种人为及天然灾害对业务运作之影响,订定紧急应变及回复作业程序及相关人员之权责,并定期演练及调整更新计画。
- 为维持业务正常运作,对资讯安全事件应建立紧急处理机制,在发生资讯安全事件时,立即向资讯单位或人员通报,采取反应措施,如有必要联系检警单位协助侦查。