資訊安全作業辦法

1. 目的
1.1. 資訊單位人員維護資訊設備之安全等相關工作之依據。
1.2. 確保本公司資訊設備正常運行。

2. 範圍
公司內部所有人員及電腦資訊相關設備。

3. 權責
資訊單位為本辦法之權責控制單位。

4. 所有資訊作業人員於任職時皆應填具人資單位之相關保密協定；離職時應取消其識別碼，並收繳其通行證。

5. 應用系統維護管理
5.1. 資訊作業系統需委外開發時，應簽訂合約以維護公司之權益及確保系統之正常運作。
5.2. 委外人員之電腦通行使用權利應經適當控管，委外期間結束後，應立即收回該項權利。
6. 電腦系統管理
6.1. 使用者第一次使用系統時，應更新初始密碼後方可繼續作業。
6.2. 系統程式及檔案之存取使用，應按權限區分，若需變更權限應填寫「資訊作業申請單」，經權責主管核准後始可變更設定。
6.3. 人員異動時，若須變更系統或網路使用權限，應即時填寫「資訊作業申請單」，經權責主管核准後始可變更設定。
7. 電腦作業管理
7.1. 電腦機房應設立門禁管制。
7.2. 電腦機房之防災措施、供電設施及備份處理應依「檔案及設備安全防護作業辦法」辦理。
8. 備援及回復作業
系統故障復原應依「系統復原作業須知」辦理。

9. 網路安全管理
9.1. 網路系統安全評估
9.1.1. 應定期或依簽訂之網路設備維護合約評估公司網路安全系統，若有相關文件則必須保存。
9.1.2. 定期或適時修補網路運作環境之安全漏洞，若有相關文件則必須保存。
9.1.3. 有關電腦網路安全（如資訊安全政策宣導、防範網路駭客入侵事件、電腦防毒等）之事項應隨時公告。
9.1.4. 各電腦主機及重要軟體設備應有專人負責。
9.2. 防火牆之安全管理
9.2.1. 公司內部應建立防火牆。
9.2.2. 防火牆應有專人或合約廠商維護或管理。
9.2.3. 網路封包之進出紀錄及其備份應至少保存一個月。
9.2.4. 重要網站及伺服器系統應以防火牆與外部網際網路隔離。
9.2.5. 防火牆系統之設定及修改應經權責主管之核准。
9.3. 電腦病毒及惡意軟體之防範
9.3.1. 公司內部應安裝防毒軟體，並即時更新程式及病毒碼。
9.3.2. 應定期對電腦系統及資料儲存媒體進行掃描（含電子郵件）。
9.3.3. 防毒應涵蓋伺服器端及個人端電腦。
10. 所有記錄文件，皆須保存，並以「年」為單位，經整理後置於置物櫃；保存期限為一年或至該系統淘汰為止。