資訊安全政策及落實情形

一、資訊安全政策

1.目的：

   為執行資訊安全管理，強化本公司主機、網路設備的通訊安全，降低因人為疏失、蓄意或天然災害導致資產遭

   竊、不當使用、洩露、竄改或破壞等風險，確保資訊資產的機密性、完整性及可用性，故訂定本政策，以作為

   本公司實施各項資訊安全措施之依據。

2.適用範圍：

   本公司員工及約聘雇人員、顧問、合作業務往來廠商與客戶等。

3.資訊安全目標：

   為維護資訊資產及資訊作業安全之機密性、完整性及可用性，並保障使用者資料隱私，藉由全體同仁共同努力

   來達成以下目標：

   (1) 持續強化改善整體資訊安全管理制度能力。

   (2) 適時適當提昇資訊安全管理與技術專業能力及其相關工具。

   (3) 保護本公司業務活動資訊，避免未經授權的存取、修改，確保其正確完整。

   (4) 符合相關法令或法規之要求，達成業務持續運作之目標。

4.管理單位：

   本公司資訊部門為資訊安全管理部門，於111年成立資訊安全管理委員會，簡稱資安會(架構如下圖)，由資訊組

   主管作為召集人，負責制定相關制度規範及處理相關資訊安全議題，並依組織運作制度向上級主管報告。

   (1) 定期通報：召集人固定每年六月以書面方式向董事會報告公司整體資安狀態。

   (2) 臨時通報：如遇重要突發事由，足以影響公司營運時，應立即向董事會報告。
   (3) 定期檢討：資安會召集人，每年至少進行一次資安政策與措施檢討，如因應政府新法令之施行、新型資安危

        害之對、新型資安保護科技之導入等。

5.資訊安全要求事項：

(1) 本公司員工及約聘雇人員、顧問、合作業務往來廠商與客戶，凡使用公司資訊以提供資訊服務或執行專案工

     作等，均有責任及義務保護其所取得或使用之資訊資產，以防止遭未經授權存取、擅改、破壞或不當揭露。

(2) 本公司各單位人員，對所負責業務而持有之資訊資產應負保管責任，確保重要資訊資產之機密性、完整性

      及可用性，防止其遭受意外或蓄意破壞、擅改、不當揭露或損失(包含實體或電子方式竊取)，以符合公司之營

      運利益並遵循相關法律及法規之要求。

(3) 維護保障資訊安全為每位人員之義務，當認知有違資訊安全之情事，應予即時防制並進行通報。

(4) 各項管理、行政及技術作業之發展、制訂及變更，應考量資訊安全之需求。

(5) 各項作業中獲知之資訊，其資訊保護及保密責任不因工作變更而滅失。

(6) 各項蒐集、處理與利用個人資料之業務，須符合個人資料保護法相關法令的要求。

(7) 各項資訊資產之取存運用，包括電腦、網路設施及資訊系統等軟硬體之安裝、建置、發展、使用及維護，應

      參照相關的作業程序並獲得授權後方可執行。

(8) 應定期辦理資訊安全教育訓練及宣導，建立員工資訊安全認知，提升公司資訊安全水準及資訊安全管理能力。

(9) 應建立防病毒及防駭機制，保護資訊作業及相關資產，防止人為意圖不當或不法使用，遏止駭客、病毒等入

     侵及破壞之行為。

(10) 為維護網路安全，防範電腦病毒之侵襲，應購買合法防毒軟體或關閉不必要之網路連線及服務，並定時更新

     相關病毒碼及掃毒引擎。

(11) 對資訊安全事件應建立緊急通報機制，在發生資訊安全事件時，應依處理程序，立即向主管機關通報，並視

     業務需求訂定業務持續運作計畫，定期測試演練。

(12) 資訊安全措施，應符合法律之規範與本政策要求。

6.審查與宣導：

(1)資訊安全政策每年至少評估一次，或於發生重大事件變動時重新評估，以期符合相關法令、時勢變化、營運狀

    態最新發展現況。

(2) 資安會召集人，每年一次於主管會議中，宣導資安管理之重要性，與資料備份之必要性。

(3) 資安會召集人，每年舉行一次資安訓練講習課程，加強提示員工資安防控作為。

(4) 本政策以書面電子郵件、刊登於網站或其他方式公告周知。

7.政策實施：

本資訊安全政策經總經理核准後實施，修正時亦同。

二、資訊安全管理措施

1.權責人員：

資安會召集人為資安主要管理者、資訊組為主要管理單位、各單位主管為通報人及次要管理者、全體員工為遵循者。

2.資訊機房環境管理：

(1)各式伺服器主機，包含ERP主機、電子郵件主機、網站主機、防毒軟體等，均設置於資訊組管理之資訊機房內

    ， 由資訊組員工管理維護，員工進出需進行登記。

(2)資訊機房內，配有獨立冷氣空調系統，機房內溫度控制在25度C以下，避免各式主機過熱導至異常當機；機房

    內同時設有滅火器，以預防火災。

(3)資訊組機房設置含穩壓功能之在線式不斷電系統，電池至少可使主機運轉30鐘，機房內電源並有結連公司自有

    發電機，可使主機在斷電狀態下進行運作。

3.網路安全管理：

(1)本公司對外部網路之連結、透過三層網路防火牆防護，架構如下：

    ISP端租用防火牆(第一層)>機房端防火牆(第二層)>電腦端作業系統防火牆(第三層)

(2)ISP端租用之防火牆(中華電信)與機房端防火牆，均定期自動更新防毒、防駭特徵碼，使此兩層之防護功能，

    隨時保持在最新狀態；此兩層防火牆均有設置網路管理政策，可阻擋惡意攻擊與連結，和員工不當使用之操作

   ，並可防止頻寬被佔用；此兩端之防火牆均有自動定期產生報表，提供LOG檔查詢。

(3)非經權限申請人員使用之電腦，僅可連結內部網路，不可連結至網際網路，以減少遭受網路惡意攻擊的可能性。

(4)本公司台北辦公室，與桃園工廠資料之結連為內部網路型態，連結方式為兩端之間使用ISP(台灣固網)提供

    具VPN功能的專線架構，可保障異地間資料之流通安全性。

4.電腦病毒防護管理：

(1)機房端防火牆具有防毒、防駭功能，並且每日自動至少更新特徵碼一次，使防火    牆具最新防護功能。

(2)公司內電腦端均安裝防毒軟體，防毒軟體並有設置主機一部，作為中央控管用，可監控每部電腦之防毒狀態

    。電腦端之防毒軟體，每日自動至少更新特徵碼一次；防毒軟體須保持為啟用狀態，權限由資訊組員工管理，

    員工不可擅自關閉。

(3)電子郵件伺服器，具備郵件過濾功能與防毒功能，避免不當電子郵件傳入使用者端電腦。

5.系統資料存取控制：

(1)員工對於各類資訊系統之操作，需先經過申請權限的程序，經權責主管核准後，始得由資訊組建立帳號。

(2)各式帳號的密碼設置，均要求備複雜性，須含英數字與特殊符號，長度8碼以上。

(3)各類資訊系統，均有設置LOG檔記錄功能，記錄每個帳號登入的時間與操作的功能，可供追溯。

(4)員工離職時，須簽妥離職申請單，並會簽資訊組，由資訊組撤銷帳號以確保離職員工之帳號已無效或刪除。

(5)本公司委外廠商須簽定保密聲明書或協議書，以避免資料未經授權揭露。

6.確保永續運作：

(1)各式系統主機硬體設備，除運作中主機一套外，另有設置備用主機一套，尤以ERP主機除運作中主機外，另有

    備用主機，可因應運作中之主機異常時，於短時間啟用備用主機，使公司作業不至中斷。

(2)重要資料的備份，至少儲存兩處，且含異地備份，由台北辨公室，與桃園工廠兩地互為異地備份；備份之頻

    率為每日一次，由資訊組人員每日檢查資料是否備份完成。

(3)災害復原演練，每年至少實施一次，方式為啟用備用機並檢查可否將備份資料載入並運作，確保備援機制與

    備份資料的有效性，以及人員復原作業的熟練性。

(4)對ISP租用之網際網路線路，租用兩條以上不同架構的線路，可避免單一網路故障無法使用。

(5)除各主要系統設備外，各基層單位使用之軟體硬體設備，資訊組均保持有備用庫存，使各單位日常運作流暢

   ，減少請採購設備的等待時間。

三、資安政策執行情形

1.未遭受重大惡意資料

   本年度未遭遇資料破壞情形(如勒索病毒)、未發生設備主機故障情形。

2.備援復原演練

     本公司主要ERP主機，有設置備援機每日自動復原資料，資訊組人員每週皆檢查兩次以上；重要資料庫每小

    時異地備援一次並每週檢查。

3.宣導作業

    本公司曾於112年6月主管會議中，宣導資安管理之重要性，並分享其它公司遭受惡意入侵之案例。