資通安全檢查控制作業

1.作業程序

1.1   電腦系統安全管理

1.1.1   辦理資訊業務委外作業時,應明訂廠商之資訊安全責任及保密規定,並列入合約,要求廠商遵守並定期考核。

1.1.2   對於系統變更作業或更新功能,由資訊部門執行控管並詳細記錄以備查考。

1.2   網路安全管理

1.2.1   各系統伺服器與外界網路連接之網點,須設立防火牆以控管外界與內部網路之資料傳輸及資源存取,避免外界直接進入資訊系統或資料庫存取資料。

1.2.2   公司員工非經權責主管授權,禁止將公司相關資訊經由電子郵件對外傳送。

1.3   系統存取控制管理

1.3.1   公司員工不得將自己登入之帳號及密碼交付他人使用。

1.3.2   重要之軟體及檔案應依使用權限設定,以避免遭挪用或剽竊。

1.3.3   使用者初次登入電腦系統後必須立即更改預設之密碼。

1.3.4   避免使用與個人有關資料設為密碼,如生日、身份證字號、部門簡稱、電話號碼等。

1.3.5   對離職人員,須立即取消使用各項資訊資源所有權限,並列入人員離職必要手續。

1.3.6   各部門之重要資料如需委外建檔者,不論在公司內外執行,均由各部門與委外廠商簽訂適當之安全管制合約,防止資料被竊取、竄改、販售、洩漏及不當備份等情形發生。

1.4   系統發展及維護安全管理

1.4.1   自行開發或委外發展系統,須在系統開發初期階段,即將資訊安全列入考量,系統之維護、更新、上線執行及版本異動作業,應予安全管制,避免不當軟體及電腦病毒等危害系統安全。

1.4.2   對委外廠商之軟硬體系統建置及維護人員,資訊部門應規範及限制其可接觸之系統與資料範圍,核發短期性及臨時性之系統辨識及通行密碼供廠商使用,但使用完畢後應立即取消其使用權限。

1.4.3   各部門委託廠商建置及維護重要軟硬體設施時,應在各部門系統管理人員與資訊部門人員監督及陪同下始得為之。

1.5   資訊資產安全管理

1.5.1   不使用來源不明之磁片與光碟片。

1.5.2   電腦設備須裝置防毒軟體,並開啟於即時掃瞄狀態。對所收電子郵件之附加檔案,須先經過掃瞄確定安全後始得開啟。

1.5.3   個人文件檔案存檔時,須養成加密保護習慣,若需提供網路共享亦同。

1.5.4   為防斷電時造成系統毀損或資料流失,主機房須配置不斷電系統因應斷電時有足夠時間做存檔與正常關機。

1.6   實體及環境安全管理

1.6.1   各系統伺服器所存放之機房須由資訊部門專人負責管理,並嚴禁非相關人員進出。

1.6.2   主機房須設置空調恆溫控制,並配置適量之化學消防設施。

1.6.3   若非資訊部門人員或維修人員,不得自行拆卸電腦機殼及更換內部零組件。

1.7   人員管理及資訊安全教育訓練

1.7.1   對可存取機密性與敏感性資訊或系統之人員,及因工作需要須配賦系統管理權限之人員,應加強評估及考核。

1.7.2   資訊部門得依業務及資訊等不同工作類別,視實際需要辦理資訊安全教育訓練及宣導,建立員工資訊安全認知,提升資訊安全水準。

1.8個人資料保護及安全原則

1.8.1含有個人資料之紙本報表的申請、讀取、列印、使用、存檔、轉交及銷毀等處理及利用行為,宜建立相關之授權、監督及行為記錄機制。

1.8.2個人資料檔案應予加密且定期備份,並防止個人資料被竊取、竄改、毀損、滅失或洩露。

1.8.3個人資料輸入、輸出、存取、更新、更正或註銷等處理行為,宜釐定使用範圍及調閱或存取權限。

1.8.4內部傳遞或與其他機關交換個人資料時,應選擇可靠且具備保密機制之傳遞方式,如於實體文件封袋加上密封、或對資料檔案壓縮加密,並對轉交或傳輸行為加以記錄流向備查。

1.8.5因經營業務需要而為個人資料之蒐集、電腦處理或國際傳遞及利用,應與對方訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。

1.8.6處理個人資料檔案之資訊設備,需設置使用者代碼及通行碼。通行碼至少每六個月更換一次,通行碼長度應至少8碼,且包含文數字。

1.8.7個人資料禁止存放於網路芳鄰分享目錄,並禁止使用MSN或其他即時通訊軟體傳輸個人資料檔案。

1.8.8禁止使用外部網頁式電子郵件(Webmail)傳輸個人資料檔案。

1.8.9存放個人資料之資訊設備應安裝防毒軟體,除至少每日更新病毒碼外,並應每周執行完整掃瞄。

1.8.10儲存個人資料檔案之磁碟、磁帶,及紙本等相關儲存媒體,應指定專人管理,並置於實體保護之環境(如:上鎖之防潮箱、書櫃),必要時應建立備援機制,以防止資料損壞、遺失或遭竊取。相關儲存媒體非經權責單位同意並留存紀錄,不得任意攜出或拷貝複製。

1.8.11儲存個人資料檔案之電腦或相關設備如需報廢或移轉他用時,應確實刪除該設備所儲存之個人資料檔案。

1.8.12處理個人資料檔案之人員,其職務如有異動,應將所保管之儲存媒體及有關資料列冊移交,接辦人員除應於相關系統重置通行碼外,應視需要更換使用者識別帳號。