1.目的:
為落實(shí)資安管理, 公司制定有電腦化資訊系統處理循環(huán)與資安管理規範, 資訊中心執行各項資安工作業(yè)務(wù), 處理政策如下����。
2.適用範圍:
適用於公司全體人員��。
3 .權責:
資訊課負責對軟硬體管理進(jìn)行督導����,各相關(guān)部門(mén)電腦使用者必須嚴格按此管理辦法執行�����。
4.硬體安全細則:
4.1硬體範圍:電腦及周邊設備�����、網(wǎng)路設備�、 視訊設備��、通訊設備��。如:電腦����、印表機��、條碼機��、條碼閱讀器�、掃瞄儀���、數碼相機�����、 HUB��、光纖���、投影機�����、攝影機等�����。
4.2硬體的取得流程:依『IC-05-CF01固定資產(chǎn)請購作業(yè)』�����、『IC-05-CF02固定資產(chǎn)採購作業(yè)』��、『IC-05-CF02固定資產(chǎn)驗收作業(yè)』執行
注: 使用者簽收硬體設備後即為電腦保管人,以後須負硬體設備保管之相關(guān)責任���。
4.3電腦保管人異動(dòng) 依『IC-05-CF08固定資產(chǎn)處置與異動(dòng)作業(yè)』執行.
4.4使用注意事項
4.4.1使用者未經(jīng)資訊課同意���,使用者不得擅自打開(kāi)電腦主機殼�,加裝任何配件(包括私有配件)如音效卡��、光碟機等等��。違者視其情節����,作相應處分��。
4.4.2使用者若出現硬體設備不正?����;虍惓?須立刻通知資訊課處理�,不得自行拆除維修�����,違者視其情節�����,作相應處分�����。
4.4.3硬體為公司資產(chǎn)�,若造成硬體設備丟失或損壞��,保管人須負相關(guān)賠償責任�。故意損壞或盜取設備者�����,除賠償外��,一律開(kāi)除處罰�����。
4.4.4電腦保管人擅自讓他人使用其硬體設備造成違規事實(shí)���,使用人及保管者當一起受罰�����。若保管之硬體設備被他人盜用造成違規事實(shí)�,保管者有義務(wù)負其相關(guān)責任���。
4.4.5未經(jīng)保管人同意,不得擅自使用他人之電腦設備, 違者視其情節�,作相應處分�。
4.4.6未經(jīng)資訊課同意�����,用戶(hù)及保管人不得更改硬體設備之相關(guān)設定�,違者記過(guò)處罰�,造成他人工作不便者加重處罰��。
4.4.7電腦使用者不可利用電腦列印非相關(guān)業(yè)務(wù)之資料如:小說(shuō)文章��、風(fēng)景圖片等�。違者視其情節��,作相應處分��。
4.4.8電腦設備為公司辦公之用��,不得公物私用�����,做與工作無(wú)關(guān)的事項(如玩遊戲�����、線(xiàn)上聊天)及非公司之工作��。違者記過(guò)以上處罰��。
4.5 硬體的維修
4.5.1使用者需資訊人員進(jìn)行資訊設備維修作業(yè),電話(huà)通知資訊人員,詳細說(shuō)明連絡(luò )人員及方式,設備類(lèi)型,故障描述.
4.5.2 資訊部人員接到使用者電話(huà)報修,須儘快針對用戶(hù)報修問(wèn)題進(jìn)行確認並處理.如需更換硬體,則由資訊部告知使用者具體故障,並由使用者依請購流程開(kāi)具請購單,資訊部在收到配件後應及時(shí)安排更換.
5.資訊核心設備安全細則
5.1依網(wǎng)路服務(wù)需要區隔獨立的邏輯網(wǎng)域(如:內部或外部網(wǎng)路以及防火牆等)�,並將開(kāi)發(fā)���、測試及正式作業(yè)環(huán)境區隔���,且針對不同作業(yè)環(huán)境建立適當之資安防護控制措施��。
5.1.1定期對重要設備進(jìn)行安全掃描�����。
5.1.2定期對重要設備進(jìn)行滲透測試��。
5.1.3系統上線(xiàn)前執行源碼掃描安全檢測����。
5.2具備下列資安防護控制措施:
5.2.1防毒軟體��。
5.2.2網(wǎng)路防火牆�。
5.2.3如有郵件伺服器者���,具備電子郵件過(guò)濾機制����。
5.2.4入侵偵測及防禦機制�����。
5.2.5如有對外服務(wù)之核心資通系統者����,具備應用程式防火牆���。
5.2.6進(jìn)階持續性威脅攻擊防禦措施����。
5.2.7資通安全威脅偵測管理機制(SOC)�����。
6.資訊軟體及資訊安全細則
6.1將資安要求納入資通系統開(kāi)發(fā)及維護需求規格����,包含機敏資料存取控制��、使用者登入身分驗證及用戶(hù)輸入輸出之信息檢查濾濾���。
6.2定期執行資通系統安全性要求測試����,包含機敏資料存取控制��、使用者登入身分驗證及用戶(hù)輸入輸出之檢查過(guò)濾測試
6.3妥善儲存及管理資訊系統開(kāi)發(fā)及維護相關(guān)檔���。
6.4針對機敏性資料之處理及儲存建立適當之防護措施����,如:實(shí)體隔離�����、專(zhuān)用電腦作業(yè)環(huán)境�、存取權限��、資料加密���、傳輸加密�,數據遮蔽����、人員管理及處理規範等�����。
6.5制定到職�����、在職及離職管理程式�,並簽署保密協(xié)定明確告知保密事項�����。
6.6建立用戶(hù)通行碼管理之作業(yè)規定��,如:預設密碼�、密碼長(cháng)度�、密碼複雜度�����、密碼歷程記錄����、密碼最短及最長(cháng)之效期登入失敗鎖定機制�����,並評估於核心資通系統採取多重認證技術(shù)���。
6.7定期審查特權帳號����、使用者帳號及許可權��,停用久未使用之帳號���。
6.8建立資通系統及相關(guān)設備適當之監控措施����,如:身分驗證失敗���、存取資源失敗��、重要行為����、重要資料異動(dòng)����、功能錯誤及管理者行為等�����,並針對日誌建立適當之保護機制�。
6.9針對電腦機房及重要區域之安全控制�����、人員進(jìn)出管控��、環(huán)境維護(如溫濕度控制)等專(zhuān)案建立適當之管理措施�����。
6.10留意安全性漏洞通告����,即時(shí)修補高風(fēng)險漏洞�����,定期評估辦理設備�����、系統元件���、資料庫系統及軟體安全性漏洞修補��。
6.12制定資訊設備回收再使用及汰除之安全控制作業(yè)程式�,以確保機敏性資料確實(shí)刪除�����。
6.13制定資訊硬體及軟體操作指導書(shū)�,如:軟體安裝���、電子郵件���、通訊軟體��、ERP以及簽核系統之作業(yè)規範���。
資訊架構管理方案
為降低資安風(fēng)險, 並能在事件發(fā)生時(shí)以最短的時(shí)間排除異常, 維持公司正常運作, 資安管理將從以下幾個(gè)構面展開(kāi)�����。
-
外部風(fēng)險預防
-
內部稽核管控
-
應急處理機制
資訊架構管理具體方案
一�����、外部風(fēng)險防禦
(1)網(wǎng)路管理員每日檢查防火牆硬體是否運行正常�,包括指示燈���、線(xiàn)路���、噪音等��。
(2)網(wǎng)絡(luò )管理員定期對防火牆運行日誌進(jìn)行檢查��,主要包括日誌內是否有硬體報錯或預警����。
(3)網(wǎng)絡(luò )管理員定期對防火牆外部入侵日誌進(jìn)行檢查����,查看有無(wú)外部非法IP入侵�����,並做好防護策略��。
二�����、內部稽核管理
(1)各部門(mén)依實(shí)際工作需求���,填寫(xiě)《內部資源許可權申請表》����,經(jīng)本部門(mén)專(zhuān)理級(含)以上主管核準後,資訊部進(jìn)行許可權設定作業(yè)�。
(2)因工作性質(zhì)變更,需變更本部門(mén)資源存取權限,填寫(xiě)《內部資源許可權申請表》,經(jīng)本部門(mén)專(zhuān)理級(含)以上主管核準後,資訊部進(jìn)行權限設定作業(yè)����。
(3)因工作性質(zhì)變更,需申請非部門(mén)資源存取權限,填寫(xiě)《內部資源許可權申請表》,經(jīng)本部門(mén)專(zhuān)理級(含)以上主管及被訪(fǎng)問(wèn)部門(mén)專(zhuān)理級(含)以上主管 核準後,資訊部進(jìn)行許可權設定作業(yè)��。
(4)非本公司員工一律不得開(kāi)放存取權限����。
三�、應急響應機制
當緊急狀況發(fā)生時(shí)�,系統管理員及網(wǎng)路系統管理員須立即檢測各種資訊設備故障狀況�����,並依機房管理作業(yè)規範填具「ESON ITS EMERGENCY CASE REPORT」呈報資訊部主管�,並採取下列應變措施:
(1)啟用備援設備��,恢復網(wǎng)路及通訊系統���。若無(wú)備援設備��,則昆急通知維護廠(chǎng)商提供備援設備並恢復網(wǎng)路及通訊系統���。
(2)將故障之資訊設備送至維護廠(chǎng)商修復����,若無(wú)法修復�,則撰寫(xiě)簽呈昆急採購����。
(3)異常解決恢複後�,通知相關(guān)使用者重新執行該交易作業(yè)或進(jìn)行數據備份回復�。
