強盛新股份有限公司

資訊安全風險管理政策與措施

一、資訊安全風險管理政策

1.範圍：

係指確保本公司資訊處理之各種軟體系統與硬體設備的多種保護機制，含作業人員所使用之電腦軟體、硬體、週邊及網路系統之可靠性，並確保上述資源免受干擾、破壞、入侵之行為或企圖。

2.目的：

係為確保本公司資訊的合法存取，於可能遭受外力入侵時，亦能提供完整、未中斷之資訊系統運作；於事故發生時，作迅速必要之應變處置後，能在最短時間內回復正常運作，以降低該事故可能帶來之損害。

3.宣導：

      應對全公司定期辦理資訊安全教育訓練及宣導，建立員工資訊安全認知，提升本公司資訊安全水準。

4.執行：

由全體員工依管理措施執行。

二、資訊安全風險管理委員會與職責

 1.架構：

本公司於111年成立資訊安全管理委員會，簡稱資安會(架構如下圖)，由資訊室主管作為召集人。

2.職責：

          (1)定期通報：召集人固定每年以書面方式向董事會報告公司整體資安狀態。

          (2)臨時通報：如遇重要突發事由，足以影響公司營運時，應立即向董事會報告。

          (3)定期檢討：資安會召集人，每年至少進行一次資安政策與措施檢討，如因應政府新法令之施行、新型

          資安危害之應對、新型資安保護科技之導入等。

三、資訊安全管理措施

1.權責人員

資安會召集人為資安主要管理者、資訊室為主要管理單位、各單位主管為通報人及次要管理者、全體員工為遵循者；資訊室設有主管一員與助理工程師一員，共兩員。

2.資訊機房環境管理

(1)各式伺服器主機，包含ERP主機、電子郵件主機、網站主機、防毒軟體等，均設置於資訊室管理之資訊機房內，由資訊室員工管理維護，員工進出需進行登記。

(2)資訊機房內，配有獨立冷氣空調系統，機房內溫度控制在25度C以下，避免各式主機過熱導至異常當機；機房內同時設有滅火器，以預防火災。

(3)資訊室機房設置含穩壓功能之在線式不斷電系統，電池至少可使主機運轉30鐘，機房內電源並有結連公司自有發電機，可使主機在斷電狀態下進行運作。

3.網路安全管理

(1)本公司對外部網路之連結、透過三層網路防火牆防護，架構如下：

 ISP端租用防火牆(第一層)>機房端防火牆(第二層)>電腦端作業系統防火牆(第三層)

(2)ISP端租用之防火牆(中華電信)與機房端防火牆，均定期自動更新防毒、防駭特徵碼，使此兩層之防護功能，隨時保持在最新狀態；此兩層防火牆均有設置網路管理政策，可阻擋惡意攻擊與連結，和員工不當使用之操作，並可防止頻寬被佔用；此兩端之防火牆均有自動定期產生報表，提供LOG檔查詢。

(3)非經權限申請人員使用之電腦，僅可連結內部網路，不可連結至網際網路，以減少遭受網路惡意攻擊的可能性。

(4)本公司台北辦公室，與桃園工廠資料之結連為內部網路型態，連結方式為兩端之間使用ISP(台灣固網)提供具

  VPN功能的專線架構，可保障異地間資料之流通安全性。

4.電腦病毒防護管理

(1)機房端防火牆具有防毒、防駭功能，並且每日自動至少更新特徵碼一次，使防火    牆具最新防護功能。

(2)公司內電腦端均安裝防毒軟體，防毒軟體並有設置主機一部，作為中央控管用，可監控每部電腦之防毒狀態。電腦端之防毒軟體，每日自動至少更新特徵碼一次；防毒軟體須保持為啟用狀態，權限由資訊室員工管理，員工不可擅自關閉。

(3)電子郵件伺服器，具備郵件過濾功能與防毒功能，避免不當電子郵件傳入使用者端電腦。

5.系統資料存取控制

(1)員工對於各類資訊系統之操作，需先經過申請權限的程序，經權責主管核准後，始得由資訊室建立帳號。

(2)各式帳號的密碼設置，均要求備複雜性，須含英數字與特殊符號，長度8碼以上。

(3)各類資訊系統，均有設置LOG檔記錄功能，記錄每個帳號登入的時間與操作的功能，可供追溯。

(4)員工離職時，須簽妥離職申請單，並會簽資訊室，由資訊室撤銷帳號以確保離職員工之帳號已無效或刪除。

(5)本公司委外廠商須簽定保密聲明書或協議書，以避免資料未經授權揭露。

6.確保永續運作

(1)各式系統主機硬體設備，除運作中主機一套外，另有設置備用主機一套，尤以ERP主機除運作中主機外，另有備用主機，可因應運作中之主機異常時，於短時間啟用備用主機，使公司作業不至中斷。

(2)重要資料的備份，至少儲存兩處，且含異地備份，由台北辨公室，與桃園工廠兩地互為異地備份；備份之頻率為每日一次，由資訊室人員每日檢查資料是否備份完成。

(3)災害復原演練，每年至少實施一次，方式為啟用備用機並檢查可否將備份資料載入並運作，確保備援機制與備份資料的有效性，以及人員復原作業的熟練性。

(4)對ISP租用之網際網路線路，租用兩條以上不同架構的線路，可避免單一網路故障無法使用。

(5)除各主要系統設備外，各基層單位使用之軟體硬體設備，資訊室均保持有備用庫存，使各單位日常運作流暢，減少請採購設備的等待時間。

7.政策之宣導與檢討

(1)資安會召集人，每年舉行一次資安訓練講習課程，加強提示員工資安防控作為。

(2)本公司之資安管理政策與措施，以安全性為主、管控彈性為輔，在不影響安全性的前提下，員工可提出意見參考並列入檢討，使管理機制趨於合理。

(3)資安政策之檢討，為每日進行之工作，依內外部之變動，包含公部門之政策、新世代病毒、新型資安威脅案例之分享與探討、新型資安軟硬體防護設備等等，依據所有內外部之訊息，資訊室人員每日向主管報告新知，當有重大事件時，得由主管向總經理呈報，並修改資安政策。

四、113年資安政策執行情形

1.未遭受重大資料破壞情事

本年度未遭遇資料破壞情形(如勒索病毒)、未發生設備主機故障系統中斷服務情形。

2.汰換瀕臨老舊系統主機

本年度汰換瀕臨老舊之系統伺服器主機兩套，為預防性更新，避免主機老舊異常發生故障，同時更新為新世代主機，提升電腦作業速度。

3.備援復原演練

本公司主要ERP主機，有設置備援機每日自動復原資料，資訊室有專員每日檢查各部伺服器主機(含備援機)是否正常運作，並檢查各項備份(含本地與異常備份)，是否成功備份，其中重要資料庫每小時異地備份一次。

4.委外系統合約

重要之委外系統，仍持續簽定維護合約，以保障系統故障時，可在短時間內由廠商負責修復。

5.日常檢查防毒防駭記錄

資訊室專員每日檢查資防毒系統主機之日誌，與防駭系統之日誌，並作記錄，如有異常進行通報。

6.宣導作業

本公司於113年12月舉辦資訊安全宣導講習，宣導資安管理之重要性，並分享其它公司遭受惡意入侵與資案事件；另於每月之主管會議中，宣導資安規範。

7.社交工程演練

本年度為113年12月進行社交工程演練，發送測試郵件54人次，無員工點選不明連結之信件。

8.資安防護投入資源

 本年度投入資安管理經費為120萬元(不含員工薪資)，包含三大部份：

(1)網路防毒防駭面(防毒軟體更新+防火牆更新+弱點偵測+備援線路)。

(2)硬體設備面(系統主機汰換更新+一般電腦更新+備援設備)。

(3)軟體更新面(系統軟體更新維護合約)。