一、適用範圍
有關資訊安全之事項,除另有規定外,悉依本辦法辦理。
二、資訊安全組織
為落實資訊安全管理,公司應成立資訊安全組織,成員應含公司高階主管,負責推動、協調及督導下列資訊安全管理事項:
(一)資訊安全政策之核定及督導。
(二)資訊安全責任之分配及協調。
(三)資訊資產保護事項之監督。
(四)資訊安全事件之檢討及監督。
(五)其他資訊安全事項之核定。
(六)定期召開資訊安全會議。
三、帳號管理
(一)資訊系統均需有帳號及密碼登入管理功能,依業務功能不同,區分帳號種類,每一種類每一同仁使用一組帳號及密碼。
(二)使用者須妥善保管個人帳號、密碼,密碼至少六個字元及應三個月更換乙次。個人密碼應絕對保密,若發現外洩應即更改,以確保資訊安全。
(三)同仁異動經權責主管核定後,應依其異動狀況停用或刪除其帳號及許可權。
四、資料存取
(一)系統資料庫由資料庫管理者依使用者群組訂定不同使用權限,無權限者不得直接存取資料庫內容。
(二)系統應依資料之重要性設定安全機制,並應可追蹤資料流及使用者操作記錄。
(三)系統資料儲存異常時,應有自動警報或回復功能。
(四)資料依重要性區分,設定不同的保存或銷毀期限,除另有規定外,保存期限至少為五年以上。
(五)使用單位經由系統所取得之機密性資料均應嚴加管制,限制傳閱、影印、複製、攝影、轉出或以其他方式記錄。
(六)系統資料轉出應填寫「資訊服務單」,經權責主管核定後始得辦理。
(七)系統存取及應用之監督
1、應建立及製作異常事件及資訊安全事項的稽核軌跡,並妥善保存,以作為日後調查及監督之用。
2、系統稽核軌跡應包括下列事項:
(1)使用者識別碼。
(2)登入及登出系統之日期及時間。
(3)儘可能記錄端末機的識別資料或其位址。
五、網路安全管理
(一)網路應安裝監控系統,監控通訊線路、通訊協定、資料流量、資料內容及使用物件,由資訊部門指定專人辦理。
(二)重要伺服器均應裝置於公司受到保護的網路內,內、外網路須安裝安全防護設備(防火牆)區隔,並依業務所需設定安全存取權限。
(三)防火牆安全權限之異動申請,經資訊部門核定後,由專責人員修改,並紀錄異動歷程。
(四)資訊部門應定期檢討防火牆安全權限及電腦網路安全事項,並應建立網路入侵偵測系統,以有效偵測惡意入侵事件。
(五)經由公眾網路傳輸機密資料時,應採取資料加密機制。
(六)防火牆系統軟體,應定期更新版本,以因應各種網路攻擊。
(七)憑證安全管理
1、資訊平台與外部連結時,須建置憑證金鑰。
2、憑證金鑰之產生、儲存、使用、備份、銷毀、更新及復原作業等,應建立嚴格的安全管理機制。
六、系統原始碼管理
(一)資訊系統之相關原始碼,應依機密等級給予適當安全屬性,不同安全屬性之文件應分開,並以相對應的安全措施加以保存。
(二)調閱相關原始碼須經資訊部門主管核定並記錄。
七、備份作業管理
(一)為確保集團資訊系統之資料完整與正確,應設有三層備份資料保護機制,確保災害發生時,能根據不同等級的損害進行資訊資料的重建工作。
1、本機資料備份:存放於運行中的主機上。
2、異機資料備份:存放於同機房的其他主機上。
3、異地資料備份:存放於異地機房。
(二)資訊部門應依業務及重要性設定系統完整之備份計劃,且須設定密碼後方能執行,並詳細記錄主機名稱、日期、起迄時間、內容、編號、狀態、保存位置及操作人員。
(三)備份軟體須確保備份資料的完整性及安全性。
(四)備份以磁帶為主,其他媒體為輔,並須存放於隔熱防火、防潮整潔之場所,且應與主機異地安全保存。
(五)重要資料的新舊備份,均應依政府法令規範時效保存。
(六)備份資料應依系統特性及重要性安排回復測試作業,並詳細記錄主機名稱、日期、起迄時間、內容、編號、步驟、狀態、結果及操作人員。
(七)資訊部門應定期演練備援作業程序,以便發生災害或儲存媒體失效時,可迅速回復正常作業。
八、資訊系統可用性管理
(一)監控機制
1、需設有監控平台,可隨時監看當下系統妥善狀態。
2、每月定期提供系統可用性報表。
(二)異地備援
1、應訂定異地備援計劃。
2、備援地點不可與運作中的機房為同一棟大樓,且須具備運行系統服務的硬體設備。
(三)災害復原
1、應訂定災害復原計劃。
2、資訊系統災害復原需每半年定期演練,過程需有文件和紀錄備查。
九、病毒防治
(一)公司所有伺服器主機、個人電腦、筆記型電腦均應安裝規定之防毒軟體,掃毒紀錄應由專人每日檢視,並採取必要之措施;所有伺服器亦應按月執行掃毒作業,並將紀錄留存備查,以防制及偵測電腦病毒與惡意軟體等的侵入。
(二)使用防毒軟體,應依下列原則辦理:
1、定期更新版本及病毒碼。
2、定期或即時掃描電腦系統及資料儲存媒體。
3、使用之防毒軟體由資訊部門審核後,方可使用。
4、對來路不明及內容不確定的資訊媒體,應在使用前詳加檢查是否感染電腦病毒。
5、定期將必要的資料及軟體予以備份。
(三)電腦設備如遭病毒感染,應立即離線(拔除網路線連結),並通知資訊人員處理,直到確認病毒已消除後,方可重新連線。
十、個人資料保護
資訊系統之運作功能及資料存取應符合個人資料保護規範,依據「個人資料保護作業要點」相關規定辦理。
十一、實體及環境安全管理
資料中心及機房之安全管理,依「資訊機房管理辦法」相關規定辦理。
十二、資安遵守
(一)資訊部門應制定系統使用規範,並防止內、外非相關人員取得機密資訊或影響系統正常運作;同仁不得利用系統進行非正常或未經許可之作業,以獲取不當之資訊或利益。
(二)同仁應遵守公司資訊安全政策之相關規定,違者按情節輕重依「同仁獎懲辦法」相關規定予以處分。
(三)同仁應遵守業務機密之相關法令規定,在職及離退職後均不得洩漏所知悉之資訊機密,或為不當之使用,違者按情節輕重依「同仁獎懲辦法」相關規定予以處分,必要時並得追究相關法律責任。
十三、施行日期
(一)本辦法於二○一○年四月一日整合制定。
(二)本辦法於二○一九年十一月一日第一次修正。
