banner
關於振樺 公司治理

公司治理

資訊安全

一 、資訊安全管理架構

(一)本公司資訊安全之權責單位為資訊單位,負責制定內部資訊安全政策、規劃及執行資安相關作業與資安訊息的通知。

(二)本公司稽核室為資訊安全之督導單位,建議擬定相關內部控制程序管理及進行內部稽核。本公司所有使用者皆須遵循內部資訊安全政策,正確並合法使用系統,如發現有異常狀況即告知相關人員處理。

 

二、資訊安全政策

(一) 公司安全政策

硬體需列管、軟體要合法;使用照規定、存取先申請;備份做確實、備援要啟動;入侵能阻擋、異常速查明。

(二) 資訊設備安全管理

1.電腦機房管

  1. 電腦機房係屬人員管制區域,重要server皆放置在電腦機房,機房外架設監視器及門禁卡機,確實控管進出人員;除了中央空調外,另裝設分離式冷氣,保持機房溫/濕度。
  2. 電力備援:機房備有UPS,避免因電力突然中斷而造成設備、資料損毀。

2.個人電腦管理

  1. 個人應妥善使用及保管電腦,公司定期對廠內電腦設備進行盤點。另屬公司所有之電腦設備不得任意攜出工作場所。
  2. 禁止攜帶私人電腦或Note-Book到公司使用,若因工作需要,須經申請程序申請,並於開始使用前,確認使用軟體之合法性及安全性,方能使用。
  3. 禁止任意加裝軟碟、光碟、硬碟、儲存裝置或其他設備;若因職務需要,應經由申請程序申請。
  4. 禁止任意變更相關網路設定。
  5. 禁止自行安裝無版權的非法軟體;試用版軟體試用後符合需要須繼續使用,仍須以正式申請來註冊購買版權;Free-Ware軟體則是可以免費安裝使用的軟體。
  6. 依計畫表每季進行個人電腦抽查,檢查是否依公司規定使用。

(三) 網路安全管理

1.設置防火牆減少入侵機率

  1. 定義及建立連線的連接埠與區域,防止外部網路直接連線。
  2. 設定固定IP及建立使用者電腦資訊。
  3. 設定VPN及可進入區域,並以密碼保護。
  4. 從log檢查異常狀況。

2.  安裝防毒軟體

  1. 防毒軟體除了即時監控外,每週固定時間自行啟動預約掃描,減少電腦遭受感染機會。
  2. 用雲端式防護主動攔截威脅,並即時更新病毒碼。
  3. 每週依防毒偵測結果,用電子郵件通知受到病毒/惡意程式威脅的電腦使用者及部門主管。

(四) 系統存取管理

1.人員系統存取權限

  1. 公司應用系統均依個別使用者設定不同使用者帳號及密碼,再依權責賦予不同帳號之作業權限。
  2. 個人電腦設置螢幕保護程式、定期更換密碼並要求密碼強度。
  3. 禁止任意加裝軟碟、光碟、硬碟、儲存裝置或其他設備;若因職務需要,應經由申請程序申請設備,並經適當核准後,由資訊人員進行加裝。

2.系統權限清查

  1. 擬定系統權限查檢表,每年清查一次,並提供資料給各部門主管確認。

3. 敏感性與重要性資訊管制

  1. 電子文件管制:對同一部門及跨部門之伺服器資料夾,依職責設定群組分類並管制讀寫權限,且設有專人管理。
  2. 書面文件管制:需經單位主管簽准,始可至文件管制中心找專人調閱/拷貝;屬於各部門之機密性文件需存放特定地點或加鎖於櫃內。
  3. 劃分重點管制區域:出入口設置監視器,須依規定填寫進出登記表,並定期抽查相關文件紀錄。

(五) 定期資料備份還原測試

1.資料備份:

  1. 資料庫及網頁程式設有固定備份排程,並將檔案傳送至固定位置中儲存。
  2. 相關資訊人員定期檢查備份,並填寫表單以供日後稽核。

2.郵件備份:

  1. 定期從系統查詢並下載備份,並將檔案傳送至固定位置中儲存。

3.資料還原:

  1. 系統資料還原演練每年執行一次,並依年度計畫表分季執行。
  2. 執行還原演練時填寫表單並呈核資訊單位主管。

(六) 員工資訊安全教育訓練

  1. 每年第三季對員工進行資訊安全教育訓練,授課結束後將資訊安全教育相關紀錄留存備查。
  2. 利用電子郵件方式,不定期通知員工相關資安訊息。

 

三、資訊安全風險管理架構

(一)每年第一季做風險評估,超過風險項目則提出相關對策。

(二)備援

1. 機房設置:將重要server放置在電腦機房內,統一管理保護。

2. 電力備援:機房備有UPS,避免因電力突然中斷而造成設備、資料損毀。

3. 網路備援:廠內共有三條網路線,分屬兩家不同電信公司,確保當主要網路斷線時,可自動轉成備用網路連線。

4. 異地備援:備份資料除了儲存在本廠外,同時儲存至另一處Backup Server中,避免其中一處因突發災難而造成重要資料損失。

5. 軟體備援:定期執行資料備份及還原

6. 硬體備援

  1. VM備援:可迅速建立一個相同環境供緊急使用。
  2. 機器備援:有備機可供重新安裝軟體並進行資料庫還原。

(三)災害復原演練

  1. 完整的災害復原演練內容每年至少應檢討評估一次。
  2. 各資料庫災害復原作業演練,應填寫還原檢視紀錄表,包含實際執行日期、還原人員、表單編號,並將還原成功畫面截圖存置網管資料夾中(下方須含系統日期)。
  3. 其餘演練時應填寫「災害復原演練執行表」,包含演練日期、演練部門、演練人員、演練項目、步驟編號、演練程序描述、演練結果。

(四)系統災害復原

  1. 建立系統復原檢核表。
  2. 依復原流程執行。
  3. 屬於重要系統(含部分程式)毀損復原後,應填寫「系統災害復原檢核表」,呈核資訊單位主管,並由資訊人員保管。