1.目的：

為落實(shí)資安管理, 公司制定有電腦化資訊系統(tǒng)處理循環(huán)與資安管理規(guī)範(fàn), 資訊中心執(zhí)行各項(xiàng)資安工作業(yè)務(wù), 處理政策如下。

2.適用範(fàn)圍：

適用於公司全體人員。

3 .權(quán)責(zé)：

資訊課負(fù)責(zé)對軟硬體管理進(jìn)行督導(dǎo)，各相關(guān)部門電腦使用者必須嚴(yán)格按此管理辦法執(zhí)行。

4.硬體安全細(xì)則：

4.1硬體範(fàn)圍：電腦及周邊設(shè)備、網(wǎng)路設(shè)備、 視訊設(shè)備、通訊設(shè)備。如：電腦、印表機(jī)、條碼機(jī)、條碼閱讀器、掃瞄儀、數(shù)碼相機(jī)、 HUB、光纖、投影機(jī)、攝影機(jī)等。
4.2硬體的取得流程：依『IC-05-CF01固定資產(chǎn)請購作業(yè)』、『IC-05-CF02固定資產(chǎn)採購作業(yè)』、『IC-05-CF02固定資產(chǎn)驗(yàn)收作業(yè)』執(zhí)行
注： 使用者簽收硬體設(shè)備後即為電腦保管人,以後須負(fù)硬體設(shè)備保管之相關(guān)責(zé)任。

4.3電腦保管人異動 依『IC-05-CF08固定資產(chǎn)處置與異動作業(yè)』執(zhí)行.            

4.4使用注意事項(xiàng)

4.4.1使用者未經(jīng)資訊課同意，使用者不得擅自打開電腦主機(jī)殼，加裝任何配件（包括私有配件）如音效卡、光碟機(jī)等等。違者視其情節(jié)，作相應(yīng)處分。

4.4.2使用者若出現(xiàn)硬體設(shè)備不正?；虍惓?須立刻通知資訊課處理，不得自行拆除維修，違者視其情節(jié)，作相應(yīng)處分。
4.4.3硬體為公司資產(chǎn)，若造成硬體設(shè)備丟失或損壞，保管人須負(fù)相關(guān)賠償責(zé)任。故意損壞或盜取設(shè)備者，除賠償外，一律開除處罰。
4.4.4電腦保管人擅自讓他人使用其硬體設(shè)備造成違規(guī)事實(shí)，使用人及保管者當(dāng)一起受罰。若保管之硬體設(shè)備被他人盜用造成違規(guī)事實(shí)，保管者有義務(wù)負(fù)其相關(guān)責(zé)任。
4.4.5未經(jīng)保管人同意,不得擅自使用他人之電腦設(shè)備, 違者視其情節(jié)，作相應(yīng)處分。
4.4.6未經(jīng)資訊課同意，用戶及保管人不得更改硬體設(shè)備之相關(guān)設(shè)定，違者記過處罰，造成他人工作不便者加重處罰。
4.4.7電腦使用者不可利用電腦列印非相關(guān)業(yè)務(wù)之資料如：小說文章、風(fēng)景圖片等。違者視其情節(jié)，作相應(yīng)處分。
4.4.8電腦設(shè)備為公司辦公之用，不得公物私用，做與工作無關(guān)的事項(xiàng)（如玩遊戲、線上聊天）及非公司之工作。違者記過以上處罰。
4.5 硬體的維修

4.5.1使用者需資訊人員進(jìn)行資訊設(shè)備維修作業(yè),電話通知資訊人員,詳細(xì)說明連絡(luò)人員及方式,設(shè)備類型,故障描述.
4.5.2 資訊部人員接到使用者電話報(bào)修,須儘快針對用戶報(bào)修問題進(jìn)行確認(rèn)並處理.如需更換硬體,則由資訊部告知使用者具體故障,並由使用者依請購流程開具請購單,資訊部在收到配件後應(yīng)及時(shí)安排更換.

5.資訊核心設(shè)備安全細(xì)則

5.1依網(wǎng)路服務(wù)需要區(qū)隔獨(dú)立的邏輯網(wǎng)域(如：內(nèi)部或外部網(wǎng)路以及防火牆等)，並將開發(fā)、測試及正式作業(yè)環(huán)境區(qū)隔，且針對不同作業(yè)環(huán)境建立適當(dāng)之資安防護(hù)控制措施。

5.1.1定期對重要設(shè)備進(jìn)行安全掃描。

5.1.2定期對重要設(shè)備進(jìn)行滲透測試。
5.1.3系統(tǒng)上線前執(zhí)行源碼掃描安全檢測。
5.2具備下列資安防護(hù)控制措施：

5.2.1防毒軟體。

5.2.2網(wǎng)路防火牆。
5.2.3如有郵件伺服器者，具備電子郵件過濾機(jī)制。
5.2.4入侵偵測及防禦機(jī)制。
5.2.5如有對外服務(wù)之核心資通系統(tǒng)者，具備應(yīng)用程式防火牆。
5.2.6進(jìn)階持續(xù)性威脅攻擊防禦措施。
5.2.7資通安全威脅偵測管理機(jī)制(SOC)。

6.資訊軟體及資訊安全細(xì)則

6.1將資安要求納入資通系統(tǒng)開發(fā)及維護(hù)需求規(guī)格，包含機(jī)敏資料存取控制、使用者登入身分驗(yàn)證及用戶輸入輸出之信息檢查濾濾。
6.2定期執(zhí)行資通系統(tǒng)安全性要求測試，包含機(jī)敏資料存取控制、使用者登入身分驗(yàn)證及用戶輸入輸出之檢查過濾測試
6.3妥善儲存及管理資訊系統(tǒng)開發(fā)及維護(hù)相關(guān)檔。
6.4針對機(jī)敏性資料之處理及儲存建立適當(dāng)之防護(hù)措施，如：實(shí)體隔離、專用電腦作業(yè)環(huán)境、存取權(quán)限、資料加密、傳輸加密，數(shù)據(jù)遮蔽、人員管理及處理規(guī)範(fàn)等。
6.5制定到職、在職及離職管理程式，並簽署保密協(xié)定明確告知保密事項(xiàng)。
6.6建立用戶通行碼管理之作業(yè)規(guī)定，如：預(yù)設(shè)密碼、密碼長度、密碼複雜度、密碼歷程記錄、密碼最短及最長之效期登入失敗鎖定機(jī)制，並評估於核心資通系統(tǒng)採取多重認(rèn)證技術(shù)。
6.7定期審查特權(quán)帳號、使用者帳號及許可權(quán)，停用久未使用之帳號。
6.8建立資通系統(tǒng)及相關(guān)設(shè)備適當(dāng)之監(jiān)控措施，如：身分驗(yàn)證失敗、存取資源失敗、重要行為、重要資料異動、功能錯(cuò)誤及管理者行為等，並針對日誌建立適當(dāng)之保護(hù)機(jī)制。
6.9針對電腦機(jī)房及重要區(qū)域之安全控制、人員進(jìn)出管控、環(huán)境維護(hù)(如溫濕度控制)等專案建立適當(dāng)之管理措施。
6.10留意安全性漏洞通告，即時(shí)修補(bǔ)高風(fēng)險(xiǎn)漏洞，定期評估辦理設(shè)備、系統(tǒng)元件、資料庫系統(tǒng)及軟體安全性漏洞修補(bǔ)。
6.12制定資訊設(shè)備回收再使用及汰除之安全控制作業(yè)程式，以確保機(jī)敏性資料確實(shí)刪除。
6.13制定資訊硬體及軟體操作指導(dǎo)書，如：軟體安裝、電子郵件、通訊軟體、ERP以及簽核系統(tǒng)之作業(yè)規(guī)範(fàn)。