Jun
資訊安全政策及目標
資訊安全政策及目標
一.目的:
資訊安全乃維繫各項服務運作之基礎,為維護三榮橡膠工業股份有限公司(以下簡稱本公司)之人員、資料、資訊、設 備及網路等重要資訊資產之機密性、完整性及可用性的安全運作,衡酌本公司業務需求,特訂定資訊安全政策(以下簡稱本文件)作為最高指導原則,同時要求全體同仁共同遵循,並達永續經營之目標。
二.適用範圍:
舉凡本公司所有同仁及與本公司有業務往來之廠商、客戶或第三方人員等有相關資訊資產之安全管理,皆應遵守本政策。
三.擬定資安政策與目標:
3.1政策:「保護重要文件不被竊取,人人皆有責任來守護。」
3.2目標:
3.2.1資料外洩之案件每年0次發生。
3.2.2提升人員資安防護意識,有效預防外部攻擊及內部疏忽,知悉資安事 件發生後的所有SOP,並復原100%。。
3.2.3員工於年度內需接受每年3小時的專業課程宣導。
3.2.4本公司全體同員應遵守法律規範與資訊安全政策之要求,主管人員應督導資安遵行制度落實情況,強化同仁資安認知 及法令觀念。
3.3宣導與公開:本政策應經由資安人員修改完畢後由廠長(召集人)核定,於公告日實施,並以書面、電子信件及其他方式通知所有員工及合作廠商。
四.資訊安全風險管理架構:
資訊安全人員,掌管營運所需之資訊科技相關事項,由廠長謝文龍擔任主席(召集人)統合各部門之主管組成及最少一位內部稽核人員,定期召開相關會議,以進行資安事務之決策、管理與推動,落實企業經營者的責任,保障股東的合法權益且兼顧其他利害關係人的利益。
定期自我評估資安管理能力,透過資訊安全稽核持續優化,形成改善與強化之管理循環,並確保各項業務運作順利。
五.資訊安全管理有效性:
5.1成立資訊安全管理小組,確認本公司資訊安全管理運作之有效性。
5.2建立資訊資產清單,依資安風險評鑑進行風險管理,落實各項管控措施。
5.3新進及在職同仁皆須參與資訊安全教育訓練以提昇資訊安全防護之認知觀念,公司定期執行資訊安全宣導作業,執行並保留訓練紀錄。
5.4落實委外廠商管理,以確保資通服務之安全。
5.5落實稽核執行及管理審查流程,以達致資訊安全管理制度之持續改善。
5.6落實通報程序與應變措施,提昇內部人員面對突發狀況之應對與協調能力,將資訊安全事件帶來的損害極小化,以此提升公司韌性。
5.7通報措施如下圖
.png/資安事件通報SOP(1)__600x450.png)
5.8內部稽核:每年執行內部稽核乙次,依「內部稽核管理程序」執行,並保留紀錄。
5.9審查:本政策應至每年評估一次,以符合最新法令之相關要求,並同時確保相關對應狀況為最新的解決方案,以確保資通安全管理作業之有效性。
六.實施措施:
6.1連接外部網路之電腦:
6.1.1安裝防毒軟體,並於每日開機後第一時間執行病毒掃瞄作業。
6.1.2確保Windows Update為最新版本。
6.1.3打開電腦防火牆系統。
6.1.4電腦須設定開機密碼,僅使用者知曉。(密碼建議為英文+數字,且八碼以上,切勿使用身分證、生日當作密碼。)
6.1.5電腦需設立螢幕保護程式,於離開座位10分鐘後啟用,並須輸入密碼後方可繼續使用電腦。
6.1.6使用隨身碟須為公司提供之經過掃毒確認過的隨身碟,切勿使用私人隨身硬碟、硬碟、光碟片。
6.1.7不隨意執行及安裝不明軟體,不清楚不知道不明確的應用程式請勿隨意安裝。
6.1.8不隨意打開信件夾帶之檔案,須確保寄件人是本公司已知悉廠商,若為初次合作之客戶,可採用電話詢問再三確認後方可打開。
6.1.9尊重智慧財產權,切勿從網路上下載非正版授權之軟體,降低中毒機會。(例如Microsoft、PDF…等)
6.2未連接任何網路之電腦
6.2.1 打開電腦防火牆系統。
6.2.2電腦須設定開機密碼,僅使用者知曉。(密碼建議為英文+數字,且八碼以上,切勿使用身分證、生日當作密碼。)
6.2.3做電腦與電腦之間之檔案傳輸時,需使用公司提供經過掃毒確認過的隨身碟,切勿使用私人隨身硬碟、硬碟、光碟片。
6.2.4勿任意連接非經過許可之外部儀器。
6.2.5電腦需設立螢幕保護程式,於離開座位10分鐘後啟用,並須輸入密碼後方可繼續使用電腦。
6.3重要之配方表及報價表等相關重要文件,應鎖在相關權責人員之座位抽屜裡。
6.4未經本人許可請勿隨意開啟該座位之抽屜。
6.5第三方服務人員進入廠內重要之區域,皆須廠方人員陪同進入。
6.6研發實驗工作室,未經工作室人員同意,請勿進入。
七.相關程序:
7.1內部稽核時,依內部稽核程序書標準。
7.2 外部稽核,依廠商訂定相關條件與內容。