公司治理

一、目的

本公司為強化資訊安全管理，確保所屬之資訊資產的機密性、完整性及可用性，以提供資訊業務持續運作環境，並符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅，特定此政策規範，藉有效的系統運作，包含各流程持續改善，以預防不符合事項，以達到資訊安全之目的。

二、適用範圍

1. 適用於本公司內各項資訊資產及其資訊使用者。
2. 資訊使用者係包含正式員工、聘僱人員、建置維護廠商及其他經授權使用資訊資產之人員。

三、資訊資產安全管理作業

1. 為保護資訊資產安全，本公司已建立資訊資產清冊並加以分類分級。
2. 資訊資產之管制措施如下：    
   1. 系統定期備份，備份資料委外保管異地備援。
   2. 機房進出管制
   3. 機房保持適當之溫度及濕度並有良好環境的維護。
   4. 機房內設置不斷電系統，以確保電路穩定及供作緊急處理用。
   5. 使用者對其使用或保管之各項電腦設備及周邊設備須不定期檢查，如有問題通知資訊單位維修。
   6. 系統強制使用者定期更換密碼。
   7. 硬體設備都列入資產管理。
   8. 確保機房內消防設備在有效期限內。
   9. 軟體授權規定，禁止使用未取得授權的軟體。
   10. 委託外部廠商協助處理資訊資產，需要求其簽署保密協議書或於合約中明訂保密事項。

四、網路安全管理作業

1. 網路設備安裝維護事宜。
2. 防火牆建置與管理。
3. 網路安全監控。
4. 電腦病毒防治。
5. 入侵偵測系統 (IDS)監控。

五、存取安全管理作業

本公司現行採行OTP （One-Time Password）技術，意指一次性密碼或動態密碼所產生的密碼，具「不可預測、不可重複、使用一次」等特性以保障帳戶的存取安全，有效解決帳號密碼被盜用的風險，其管理作業如下：

1. 使用者存取權限區分與管理。
2. 主機平台使用者帳號密碼管理。
3. 網路設備系統管理員帳號管理機制。

六、責任

1. 本政策經管理階層制定並審查通過後實施。
2. 資訊安全管理者透過適當的標準和程序以實施此政策。
3. 全體同仁及委外服務廠商均須依照本公司相關安全管理程序以維護資訊安全政策。
4. 全體同仁及委外服務廠商均有責任通報資訊安全事件和任何已鑑 別出之弱點。
5. 任何危及資訊安全之行為，將視情節輕重究其相關法律／行政責任或依本公司相關規定進行懲處。