資通安全管理

1.資通安全風險管理組織架構：

1.1 企業資訊安全治理組織：為強化本公司之資訊安全管理、確保資料、系統及網路安全，於公司「永續發展委員會」組織下設立了「資通安全小組」。小組由資訊單位主管擔任組長，負責統籌、計畫、執行及分析資安事件並定期向永續管理委員會及董事會彙報資安相關議題及執行方向。最近一次向董事會報告的時間是114年11月11日。

2.資訊安全政策及具體管理方案，分為六大方向：：

2.1 電腦設備安全管理：

2.1.1 本公司主機伺服器等設備設置於專用機房，機房門禁進出需登記，以保留進出紀錄存查。

2.1.2 機房內部備有獨立空調，維持電腦設備於適當的溫度環境下運轉，機房內建置自動滅火系統，並定期請廠商進行保養、測試及維護。

2.1.3 機房主機配置不斷電系統，避免意外瞬間斷電造成系統當機。

2.2 網路安全管理：

2.2.1 防火牆建置：與外界網路連線，設定防火牆連線規則，啟用入侵防護機制，阻擋駭客非法入侵。

2.2.2 同仁由遠端登入公司內網存取核心主機系統，必須申請VPN帳號，透過VPN加強驗證機制方能登入使用，且有留下使用紀錄可稽查。

2.3 病毒防護與管理：

2.3.1 個人電腦及伺服器，均安裝正版授權之防護軟體，並啟用自動更新功能，避免病毒感染及惡意攻擊行為。

2.3.2 電子郵件伺服器，導入自動防禦系統，並定期更新防禦規則，在使用者接收郵件前進行掃描，以避免不安全之附件檔案、釣魚郵件、威脅郵件、惡意鏈結及垃圾郵件等不良信件，防範因郵件攻擊造成之資安事件。

2.4 系統存取控制：

2.4.1 帳號及密碼管理的設置，強制密碼設定規則及並強制要求使用者定期更改密碼，由外部連線應加強帳號之驗證，也定期查核帳號的有效性。

2.4.2 同仁對各應用系統的使用，須透過公司內部規定的系統權限申請程序，經權責主管核准後，再由資訊單位建立系統帳號及設定所申請的權限，方存取系統資訊，也定期查核權限的適當性。

2.4.3 同仁辦理離(休)職手續時，必須會辦資訊單位，進行各系統帳號的刪除作業。

2.4.4 電腦端點電腦資安的管控，可記錄、管控員工的電腦使用，避免資料遺失或外洩。

2.5 確保系統的永續運作：

2.5.1 資料備份機制：重要資訊系統資料庫皆設定每日備份，備份資料異地存放。

2.5.2 災害復原演練：核心運營系統每年實施一次演練，安排災害情境，將備份媒體回存於系統主機，再由使用單位進行演練操作，並於書面確認回復資料的正確性，確保備份媒體的正確性與有效性。

2.5.3 各子公司及工廠除專線外，亦已租用電信公司數據線路做為備援使用，確保網路通訊不中斷。

2.6 資安宣導與教育訓練：

2.6.1 資訊安全定期宣導：定期辦理資訊安全教育訓練及宣導，包括資訊安全政策、資訊安全法令規定、 資訊安全作業程序等，促使員工瞭解資訊 安全的重要性，各種可能的安全風險，以提高員工資訊安全意識，並遵守資訊安全規定。

2.6.2 資訊安全案例宣導：不定期宣導資訊安全案例及相關資訊。

2.6.3 加入「台灣電腦網路危機處理暨協調中心TWCERT/CC」會員，取得資安事件諮詢管道，以及收集資安情資，提供內部宣導。

3.投入資通安全管理之資源：

3.1 網路硬體設備：如防火牆、防毒軟體、垃圾郵件過濾(Anti-Spam)、磁帶備份主機及機櫃、機房自動滅火系統、…等。

3.2 軟體系統：如備份管理軟體、VPN二次驗證機制、電腦端點資安管控、…等。

3.3 電信等服務：如備援數據線路、租用銀行保險箱存放備份媒體等。

3.4 投入人力：如每日主機伺服器及各系統狀態檢查、定期備份及備份媒體異地存放之執行、定期資安宣導、災難復原執行演練、權限覆核、每年對資訊循環之內部稽核、會計師稽核、…等。

3.5 資安人力: 資通安全小組由資訊單位主管擔任資安組長及兩名兼任資安人員，負責統籌、計畫、執行及分析資安事件並定期向永續管理委員會彙報資安相關議題及執行方向。

4.緊急通報程序：當發生資訊安全事件時，發生單位通報資訊安全處理小組，判斷事件類型並找出問題點，即時處理並留下紀錄。