公司治理

首頁> 投資人關係>公司治理>資安風險管理

資安風險管理架構

資安管理辦法

1.目的:

為落實資安管理, 公司制定有電腦化資訊系統處理循環與資安管理規範, 資訊中心執行各項資安工作業務, 處理政策如下。

2.適用範圍:

適用於公司全體人員。

3 .權責:

資訊課負責對軟硬體管理進行督導,各相關部門電腦使用者必須嚴格按此管理辦法執行。

4.硬體安全細則:

4.1硬體範圍:電腦及周邊設備、網路設備、 視訊設備、通訊設備。如:電腦、印表機、條碼機、條碼閱讀器、掃瞄儀、數碼相機、 HUB、光纖、投影機、攝影機等。
4.2硬體的取得流程:依『IC-05-CF01固定資產請購作業』、『IC-05-CF02固定資產採購作業』、『IC-05-CF02固定資產驗收作業』執行
注: 使用者簽收硬體設備後即為電腦保管人,以後須負硬體設備保管之相關責任。

4.3電腦保管人異動 依『IC-05-CF08固定資產處置與異動作業』執行.            

4.4使用注意事項

4.4.1使用者未經資訊課同意,使用者不得擅自打開電腦主機殼,加裝任何配件(包括私有配件)如音效卡、光碟機等等。違者視其情節,作相應處分。

4.4.2使用者若出現硬體設備不正常或異常,須立刻通知資訊課處理,不得自行拆除維修,違者視其情節,作相應處分。
4.4.3硬體為公司資產,若造成硬體設備丟失或損壞,保管人須負相關賠償責任。故意損壞或盜取設備者,除賠償外,一律開除處罰。
4.4.4電腦保管人擅自讓他人使用其硬體設備造成違規事實,使用人及保管者當一起受罰。若保管之硬體設備被他人盜用造成違規事實,保管者有義務負其相關責任。
4.4.5未經保管人同意,不得擅自使用他人之電腦設備, 違者視其情節,作相應處分。
4.4.6未經資訊課同意,用戶及保管人不得更改硬體設備之相關設定,違者記過處罰,造成他人工作不便者加重處罰。
4.4.7電腦使用者不可利用電腦列印非相關業務之資料如:小說文章、風景圖片等。違者視其情節,作相應處分。
4.4.8電腦設備為公司辦公之用,不得公物私用,做與工作無關的事項(如玩遊戲、線上聊天)及非公司之工作。違者記過以上處罰。
4.5 硬體的維修

4.5.1使用者需資訊人員進行資訊設備維修作業,電話通知資訊人員,詳細說明連絡人員及方式,設備類型,故障描述.
4.5.2 資訊部人員接到使用者電話報修,須儘快針對用戶報修問題進行確認並處理.如需更換硬體,則由資訊部告知使用者具體故障,並由使用者依請購流程開具請購單,資訊部在收到配件後應及時安排更換.

5.資訊核心設備安全細則

5.1依網路服務需要區隔獨立的邏輯網域(如:內部或外部網路以及防火牆等),並將開發、測試及正式作業環境區隔,且針對不同作業環境建立適當之資安防護控制措施。

5.1.1定期对重要設備進行安全掃描。

5.1.2定期對重要設備進行滲透測試。
5.1.3系統上線前執行源碼掃描安全檢測。
5.2具備下列資安防護控制措施:

5.2.1防毒軟體。

5.2.2網路防火牆。
5.2.3如有郵件伺服器者,具備電子郵件過濾機制。
5.2.4入侵偵測及防禦機制。
5.2.5如有對外服務之核心資通系統者,具備應用程式防火牆。
5.2.6進階持續性威脅攻擊防禦措施。
5.2.7資通安全威脅偵測管理機制(SOC)。

6.資訊軟體及資訊安全細則

6.1將資安要求納入資通系統開發及維護需求規格,包含機敏資料存取控制、使用者登入身分驗證及用戶輸入輸出之信息检查滤濾。
6.2定期執行資通系統安全性要求測試,包含機敏資料存取控制、使用者登入身分驗證及用戶輸入輸出之檢查過濾測試
6.3妥善儲存及管理資訊系統開發及維護相關檔。
6.4針對機敏性資料之處理及儲存建立適當之防護措施,如:實體隔離、專用電腦作業環境、存取權限、資料加密、傳輸加密,數據遮蔽、人員管理及處理規範等。
6.5制定到職、在職及離職管理程式,並簽署保密協定明確告知保密事項。
6.6建立用戶通行碼管理之作業規定,如:預設密碼、密碼長度、密碼複雜度、密碼歷程記錄、密碼最短及最長之效期登入失敗鎖定機制,並評估於核心資通系統採取多重認證技術。
6.7定期審查特權帳號、使用者帳號及許可權,停用久未使用之帳號。
6.8建立資通系統及相關設備適當之監控措施,如:身分驗證失敗、存取資源失敗、重要行為、重要資料異動、功能錯誤及管理者行為等,並針對日誌建立適當之保護機制。
6.9針對電腦機房及重要區域之安全控制、人員進出管控、環境維護(如溫濕度控制)等專案建立適當之管理措施。
6.10留意安全性漏洞通告,即時修補高風險漏洞,定期評估辦理設備、系統元件、資料庫系統及軟體安全性漏洞修補。
6.12制定資訊設備回收再使用及汰除之安全控制作業程式,以確保機敏性資料確實刪除。
6.13制定資訊硬體及軟體操作指導書,如:軟體安裝、電子郵件、通訊軟體、ERP以及簽核系統之作業規範。

資訊架構管理方案

為降低資安風險, 並能在事件發生時以最短的時間排除異常, 維持公司正常運作, 資安管理將從以下幾個構面展開。

資訊架構管理具體方案

一、外部風險防禦

(1)網路管理員每日檢查防火牆硬體是否運行正常,包括指示燈、線路、噪音等。

(2)網絡管理員定期對防火牆運行日誌進行檢查,主要包括日誌內是否有硬體報錯或預警。

(3)網絡管理員定期對防火牆外部入侵日誌進行檢查,查看有無外部非法IP入侵,並做好防護策略。

二、內部稽核管理

(1)各部門依實際工作需求,填寫《內部資源許可權申請表》,經本部門專理級(含)以上主管核准後,資訊部進行許可權設定作業。

(2)因工作性質變更,需變更本部門資源存取權限,填寫《內部資源許可權申請表》,經本部門專理級(含)以上主管核准後,資訊部進行權限設定作業。

(3)因工作性質變更,需申請非部門資源存取權限,填寫《內部資源許可權申請表》,經本部門專理級(含)以上主管及被訪問部門專理級(含)以上主管  核准後,資訊部進行許可權設定作業。

(4)非本公司員工一律不得開放存取權限。

三、應急響應機制

當緊急狀況發生時,系統管理員及網路系統管理員須立即檢測各種資訊設備故障狀況,並依機房管理作業規範填具「ESON ITS  EMERGENCY CASE REPORT」呈報資訊部主管,並採取下列應變措施:

(1)啟用備援設備,恢復網路及通訊系統。若無備援設備,則昆急通知維護廠商提供備援設備並恢復網路及通訊系統。

(2)將故障之資訊設備送至維護廠商修復,若無法修復,則撰寫簽呈昆急採購。

(3)異常解決恢複後,通知相關使用者重新執行該交易作業或進行數據備份回復。

  • 乙盛總部:江蘇省昆山市高新區元豐路88號

  • 分公司:台灣 / 子公司:無錫、煙台、東莞、斯洛伐克、墨西哥、越南、馬來西亞一廠、馬來西亞二廠

  • +86-512-57572938

COPYRIGHT (O) 2021.乙盛精密工業股份有限公司 蘇ICP備11060543號-1

技術支持:萬禾科技