資通安全管理作業規範

中華民國112年9月1日制定

壹、 為確保本公司各項資訊作業之安全性、正確性、保密性及妥善處理,爰訂定本辦法以資遵循。
貳、 凡本公司有關資通訊作業管理及安全之事項皆適用之。
參、 網域帳號申請作業 :
  1. 新進員工到職前,由行政管理部提供「網域帳號/E-Mail申請單」予新進員工填寫,由所屬單位主管簽核後,送交行政管理部處理。
  2. 行政管理部依申請單內容進行檢核,確認無誤後即給予該同仁基本網路使用權限。
  3. 同仁因工作或職務上需調整網域權限時,填寫「資訊服務報修單」,送交單位主管及相關部門審核,審核無誤後再送交行政管理部予以設定。
  4. 行政管理部需將相關權限之異動紀錄適當的進行保存。
  5. 公司同仁因升、調職而所屬部門有所異動,行政管理部收到人事異動通知後,應將該同仁原部門權限進行取消,新任職部門相關權限,應再填「資訊服務報修單」申請。
肆、 行政管理部執行作業 :
  1. 行政管理部應依應用系統之部門權責需求,設定個別使用者之系統帳號、密碼及使用權限。
  2. 行政管理部僅為使用者設定帳號及初始密碼,使用者取得後應自行盡速變更密碼,且須遵守相關保密規定,若密碼因故無法使用時,本人得向行政管理部申請將密碼重新設定。
  3. 電子文件檔案或由應用系統中產製之敏感或機密檔案,非經權限主管許可,不可執行下列動作:
  4. 不得隨意轉發給其他同仁或公司外部人員。
  5. 不得隨意複製(例如複製於隨身碟、網路硬碟等等)。
  6. 非經權限主管同意,機密檔案不應使用任何形式方法輸出或列印報表。
  7. 針對同仁網路空間權限或應用系統權限之異動應保留相關紀錄。
  8. 為保護資訊安全但避免頻繁更換密碼的弊端,使用者應採用高強度密碼且每年更換一次。
  9. 公司內部網路應設置防火牆,一般使用者電腦如作業系統支援,應啟用防毒及防火牆相關設定。
  10. 行政管理部負責網路空間重要資料統一備份作業,保存期限最少1個月。
  11. 行政管理部需向同仁宣導禁止使用非法或來路不明之電腦軟體,並應遵守電腦程式及資料庫所有權人設定之合法限制之訊息。
伍、 應用程式申請作業 :
  1. 人員因執行業務有應用系統權限的需求或變動時,須填寫「資訊服務報修單」,由所屬部門主管簽核後,再送權責單位主管複查,再交行政管理部進行設定。
  2. 若為資訊系統負責單位既定之工作規劃內所新增的系統需求則不在上述此限。
陸、 資訊設備的管制 :
  1. 行政管理部針對對外通訊設備,負維運管理之責;如發現有流量異常或寄件量過高的狀況,應通報部門主管,以判定進行查核之需要。
  2. 為確保上述資訊獲得管制,由行政經理提出管理需求,經總經理核定授予權限、密碼與限閱人員後,交行政經理指定人員辦理。
  3. 公司內電腦名稱由行政管理部統一管理,並制定符合密碼安全要求之密碼管理政策請同仁遵循設定。
  4. 公司內電腦系統之安全設定如無特殊需求,應由行政管理部統一管理,如啟用防火牆、作業系統更新、啟用防毒等,使用者不得擅自更改設定或安裝不符合規定之軟體。
  5. 電腦螢幕應設置螢幕保護程式並啟用密碼管理,以避免長時間離開時設備與資料遭不當使用。
  6. 對特定區域的公用電腦或私人的電腦,視使用狀況、區域依相關規範進行管控。
  7. 公司內原則禁止攜帶非公司核發之電腦設備至公司內部使用,如有需要應進行申請,由所屬主管核准,再交由行政管理部檢核確認,方可進行公務之使用,且設備不得安裝不當或非合法取得授權之軟體。
  8. 如未經授權,禁止將公司購買之授權軟體安裝至非公司核發之電腦。
  9. 非公司員工如攜帶電腦、手機、移動儲存等設備,需要或可能使用到公司內部網路資源,期間必須有公司員工全程陪同,若為長期進駐且無法全程陪同之狀況,應填寫保密切結書,以維護公司資訊安全之議題。
柒、 資訊權限管理規範 :
  1. 資訊之使用應進行分類管理,針對人員之部門、職級、權責等規範系統與資料之存取與使用權限。
  2. 因特定工作需要跨部門使用之資料或系統,應向資料擁有權單位申請,經授權後可由管理單位提供資料,不得擅自挪用;如需開放存取、使用等權限,應填寫「資訊服務報修單」經由相關權責主管審核後再由行政管理部設置權限。
  3. 各應用系統使用之帳號、密碼應妥善保管,不得提供他人使用,如因工作需要提供他人使用,須於使用後立即進行密碼修改。
  4. 經由系統核可之權限所取得之管制或重要資料,不得擅自做為非工作需要及私人之使用,或將資料提供給非工作相關之人員。
  5. 經由系統核可之權限所取得之管制或重要資料,應善盡資料管理之行為,相關資料提供廠商或客戶,應依照相關之管理辦法使用。
  6. 如有違反相關管理規範之行為,經行政管理部查察,提報所屬單位主管與人資管理主管,依公司獎懲、考核等辦法,視違規之情節提報處理。
捌、 公司網路空間管理規範 :
  1. 資料存放應依資料類別存放於規範之區域。
  2. 除特定區域,存放之資料應與工作相關,或符合存放區指定之資料類別。
  3. 禁止存放可能侵犯版權或違反資訊安全之資料,除特定區域不得存放與工作或規範內容無關之資料。
  4. 網路空間管理人應善盡設備維護之責,不定期確認網路空間之使用狀況,如有容量不足、資料異常之情況,須提報行政管理部主管解決方案並妥善因應。
  5. 網路空間使用人應善盡資料管理之責,不定期將不必要、重覆性的資料移除,以確保資料空間資源之共享利用。
  6. 網路磁碟使用人如有違反相關管理規範之行為,經行政管理部查察,提報所屬單位主管與人資管理主管,依公司獎懲、考核等辦法,視違規之情節提報處理。