年度查核資訊安全事項後,擇要陳報董事會。
| 1. | 確保公司各項資訊資產(包含資料、系統、應用軟體、硬體設備等)之機密性、完整性及可用性,避免因外部侵入或內部人員不當管理與使用,而遭致洩漏、竄改、破壞或任何不利之行為。 |
|---|---|
| 2. | 成立資訊安全策進小組(如下圖),輔以適當之人力、防護技術與工具,以達成資訊安全管理目標,並傳承公司智慧財產,確保公司業務永續運作。 |
| 1. | 舉凡執行公司業務相關的資料檔案、實體環境、軟/硬體、人員(含協力廠商)與程序,不論身處何處,均應遵守本資訊安全政策。 |
|---|---|
| 2. | 落實資料交換之安全管理,包括資料收送的管理責任、作業程序、識別資料及確認資料收送者身分、資料遺失的責任、資料及軟體的智慧財產權、資料保護的義務、機密或敏感性資料的安全措施等,使符合國內資訊安全法令法規。 |
| 3. | 工作聘僱期間所設計研發之文件、圖檔、專利等智慧財產均屬公司所有,未獲公司同意不得任意對外傳輸,同仁有保護公司智慧財產安全之義務。 |
| 4. | 開發資訊設備維護管理系統,所有資訊相關設備建檔管制,請修作業、盤點作業、資產報廢作業均系統化,定期統計、分析、檢討,期能將設備使用效益最大化。屬同仁私有之資訊相關設備嚴禁攜至公司使用,避免公私難分且造成資訊安全風險。 |
| 5. | 資訊單位辦理委外維護作業,於委外契約內明訂廠商之資訊安全責任及保密規定,科以協同維護資訊安全之義務,必要時並實施查考。 |
| 6. | 一旦發生資訊安全疑慮事件,應爭取時效立即通報資訊單位(應變流程如下),期能以專業技術採取適宜行動,阻絕感染途徑,避免衝擊擴大。並查明前因後果,採取防範措施杜絕再發生。
|
| 7. | 以上納入年度稽核項目,策進小組定期向總經理報告資訊安全治理概況。年度查核資訊安全事項後,經總經理、董事長核閱,擇要陳報董事會。 |
| 1. | 打造中鋼集團資訊安全聯防體系,建立通報機制,培養應變能力,新開發平台須經弱點掃描測試。 |
|---|---|
| 2. | 詐騙、綁架、釣魚及病毒等事件情境模擬,定期委請外部資訊安全專業廠商協助進行滲透測試,提早發現問題進行必要修補。 |
| 3. | 每年資訊系統災難復原演練,熟悉復原步驟,期能在意外發生時以最快速度恢復公司正常運作,減低對公司業務衝擊。 |
| 4. | 運用海量資料技術對主要設備進行資源負載分析及效能監控,自動發出異常警示。 |
面對層出不窮之駭客、詐騙、綁架及病毒信件等等惡意攻擊,資訊單位除設置必要的防火牆及資訊安全軟體管控,並加強同仁資訊安全風險意識宣導,提升同仁警覺心與敏感度,避免同仁開啟惡意網站或病毒附件之疏失: | |
| 1. | 所有資訊主機、終端設備均安裝防毒軟體,即時偵測,適時更新病毒碼,禁止卸載。 |
|---|---|
| 2. | 以SSL VPN虛擬私有網路提供安全存取通道,網域外同仁依授權進行內部資料存取,防止駭客入侵。對外服務站台均須通過網頁弱點掃描始得上線。 |
| 3. | 各式公務電腦均安裝USB設備管理軟體,資料進出均從旁監理,自動作成記錄。 |
| 4. | 電郵系統安裝垃圾郵件偵測機制,有疑慮之郵件一律隔離,將詐騙、綁架及病毒信件收信機會降至最低。 |
| 5. | 參與資訊安全課程或研討會,汲取資訊安全新知,培訓優質資訊安全專業人才。不定期全員資訊安全宣導,強化同仁資訊安全意識,了解嚴密的資訊安全措施仍屬治標,全體同仁能提高警覺心,共同防範才是治本。 |
