本公司資安政策:
資安政策總括而言為「基於法令規定與上級機關要求,提供可信賴的資通安全管理作業環境,維護資通系統及資料之合法利用,確保公司業務持續正常運作,達成公司資通安全目標。」
並細分為:
1.行動裝置管理政策
所有界接到本公司網路和資通系統之行動裝置,應經公司審查核准,包括手機、筆記型電腦、平版電腦、或其他具有儲存和連線功能之移動式裝置,始可使用。
2.遠距工作管理政策
經由外部網路連接本公司系統之遠距工作,僅限連接中或普安全等級之資通系統和非機密級資料,且電腦應經設有本公司同意之保護機制。
安全等級高之資通系統和機密級資料之存取,僅限於本公司內部或VPN網路作業,不得經由未經加密保護之公眾網路連接存取。
3.存取管制政策
本公司系統與資料存取管制,包含實體與邏輯二部分。
界接本公司之資訊資產設備,不得設於本公司外部無人看管或未具有保護機制之位置。
具有存取本公司資通系統或網路設施之設備,必須要具有唯一識別機制,且僅能由設備擁有者存取和個人工作相關之系統與資料,以便能夠監控設備存取軌跡和紀錄。
擁有特別存取權限之使用者,應實施獨立監控作業。
4.加密機制管理政策
本公司所有敏感個資、管制個資和機密資料之傳輸、儲存到行動裝置,應加密處理。
5.金鑰管理政策
本公司使用之金鑰,包括公鑰與私鑰,應事前評估,且經資安長核准。
每年應定期審查金鑰的有效性,金鑰之管理,包括金鑰產生、發行、使用、保管與作廢,應由專人管理。
6.螢幕清空與桌面淨空政策
本公司使用之電腦,包括伺服器、個人電腦、筆記型電腦和具有操作畫面之移動裝置,應設定電腦螢幕清空保護時間,電腦在無人操作情況下,系統畫面應依政府相關規定之時限內自動進入通行碼保護狀態。
辦公桌面不應存機敏個資、管制個資、密級與機密資料。人員離開座位時,應將桌面整理淨空,密級與機密資料,應採取保護措施進行保護管理。
7.備份政策
本公司之資通系統與系統中之資料,依其資訊資產可用性要求,區分為普中高三個級別。
資通系統與資料,應其可用性要求進行備份和營運持續管理。
8.資訊移轉管理政策
在本公司內部系統間移轉之資料,應設有保護機制。
本公司與外部單位間的資訊移轉,應經事前申請與核准。
若本公司與外部單位間移轉機密性資料,移轉過程應有加密保護。
9.安全開發政策
本公司應建立軟體開發之資通安全需求,且每位軟體開發人員,應定期接受軟體分析、設計、開發及測試相關之資通安全管理訓練。
10.供應商資通安全政策
本公司應與供應商建立專案之資通安全要求,並在供應商履行義務過程,實施必要之監控與驗證,確保供應商提供之服務與產品,符合本公司資通安全規定。