资讯安全政策及管理
概况
本公司资讯安全之权责单位为经营管理中心,最高主管为经营管理中心协理,下设资讯管理部,设置资讯主管一名,及资讯工程师数名,专责订定公司资讯安全政策,规划资讯安全措施,并执行相关之资讯安全作业。
组织运作模式采取PDCA(Plan-Do-Check-Act)循环式管理,确保目标之达成且持续改善。
 
 
资讯安全管理目标
1. 维护实体环境安全,维持各资讯系统持续运作
2. 防止骇客、病毒入侵及破坏
3. 防止人为不当及不法使用
4. 做好紧急应变,迅速灾害复原
 
资讯安全设施与管理方式
1.电脑设备安全管理
1.1 本公司配备专用机房存放应用伺服器以及储存伺服器等设备,只有授权人员才准进入,机房门禁采用感应刷卡管理,且保留进出纪录存查。
1.2 机房内部备有独立空调,维持电脑设备于适当的温度环境下运转;并安装二氧化碳灭火器,可适用于一般或电器所引起的火灾。
1.3 机房配置不断电与稳压设备,并连结公司自备的发电机供电系统,避免台电意外瞬间断电造成系统当机,或确保临时停电时不会中断电脑应用系统的运作。
 
2.网路安全管理
2.1 与外界网路连线的入口,配置企业级防火墙,阻挡骇客非法入侵。
2.2 台湾厂与宁波厂采用site to site的连线作业,使用资料加密的方式,避免资料传输过程遭受非法撷取。
2.3 同仁由远端登入公司内网存取系统,必须申请VPN帐号,透过VPN的安全方式始能登入使用,且留有使用纪录可供稽查。
2.4 配置上网行为管理与过滤设备,控管网际网路的存取,可避免访问有害或政策不允许的网路位址与内容,强化网路安全并防止频宽资源被不当占用。
 
3.病毒防护与管理
3.1 伺服器与终端电脑设备均安装有端点防护软体,病毒码以自动更新方式,确保能阻挡最新型的病毒,同时可侦测、防止具有潜在威胁性的系统执行档之安装行为。
3.2 电子邮件伺服器配置有邮件防毒、与垃圾邮件过滤机制,防堵病毒或垃圾邮件进入使用者端。
 
4.系统存取控制
4.1同仁对各应用系统的使用,透过公司内部规定的系统权限申请程序,经权责主管核准后,由资讯单位建立系统帐号,并经各系统管理员依所申请的功能权限做授权方得存取。
4.2帐号的密码设置,规定适当的强度、字数,并且必须英文大小写数字、特殊符号混杂,才能通过。
4.3同仁办理离职手续时,必须会办资讯单位,进行各系统帐号的停用作业。
 
5.确保系统的永续运作
5.1系统备份:建置异地备份系统,采取日备份机制,定时传送到二厂,电脑机房另存一份复本,以确保系统与资料的安全。
5.2灾害复原演练:ERP系统每半年实施一次演练,选定还原日期基准点后,由备份媒体回存于系统主机,再确认回复资料的正确性,确保备份系统的正确性与有效性。
5.3租用电信公司两条数据线路,透过频宽管理设备,两线路并联互为备援使用,确保网路通讯不中断。