G（ガバナンス）

情報セキュリティリスク管理

情報セキュリティ・リスク管理体制（資通安全リスク管理フレームワーク）

1. 当社における情報セキュリティの監督部門は監査室とし、情報セキュリティ施策の実施状況について監査を行い、必要な改善計画の提案および定期的なフォローアップを通じて、情報セキュリティリスクの低減に努めています。
2. また、当社は114年11月18日の取締役会において情報セキュリティ責任者（主管）任命を決議しており、今後は必要に応じて、取締役会へ情報セキュリティの実施状況を定期的に報告します。

情報セキュリティ方針

制定：113年12月

（1）目的
当社の情報業務の継続的かつ安定的な運用を確保するため、情報通信セキュリティ管理を強化し、安全で信頼性の高い電子化環境を構築します。これにより、コンピュータデータ、情報システム、情報機器およびネットワーク機器の安全性を確保します。

（2）適用範囲
本方針は、当社における以下を対象とします。 事務用途のパーソナルコンピュータ（※試験用途および治具設備用途を除く） 情報システム、ファイル共有システム等によりネットワークへ直接接続するPC、サーバ、ネットワーク機器 上記の機器・システムを利用する当社従業員

（3）情報セキュリティ方針
当社は情報セキュリティ目標達成のため、情報セキュリティ方針を定め、情報部門が主管して運用します。また、年1回の自己評価を実施し、会社状況、情報技術および事業の最新動向を反映しながら、情報セキュリティ実務の有効性を確保します。当社の情報セキュリティ管理に関する事項は、書面または電子的手段により周知し、全従業員が遵守します。

1.情報セキュリティの対象領域
当社の情報セキュリティは、以下を対象とします。
(1) 管理制度
(2) 業務プロセス
(3) 人員
(4) ソフトウェア
(5) アプリケーションシステム
(6) OS（オペレーティングシステム）
(7) ハードウェア
(8) ネットワーク機器
(9) モバイル端末（携帯・手持ち機器）
(10) データ・文書・媒体の保管
(11) 物理設備・施設　等

情報セキュリティ管理の範囲（管理項目）
当社は、人的過失、故意、不正行為、または自然災害等に起因する不適切利用、漏えい、改ざん、破壊等を防止し、当社に生じ得るリスクおよび影響の低減を図るため、以下の管理項目を情報セキュリティ管理の範囲とします。
(A) 情報セキュリティ組織
(B) 人員セキュリティおよび管理
(C) 資産分類と統制
(D) 物理的・環境的セキュリティ管理
(E) 通信および運用管理
(F) アクセス制御
(G) システム開発・保守
(H) 内部監査およびその他

A.情報セキュリティ組織
1. 組織体制
(1)当社は情報業務の総合的な企画・評価・監督・調整・推進および安全管理を統括するため、コンピュータセンターを設置しています。
(2)コンピュータセンターには、機能主管1名、専任担当者1名を配置しています。

2. 役割・任務
(1) 全社の情報セキュリティ業務の計画・実施・統制（リスク評価、システム安全管理措置を含む）
(2) 情報セキュリティ管理事項の監督および方針遵守状況の確認
(3) 情報機密の維持および情報機器・ネットワーク利用管理の監査
(4) 業務上必要な外部アクセス開放に対するリスク評価とアクセス権限の厳格管理

B.人員セキュリティおよび管理
1. 人員配置・資源配分の安全
(1) 採用・配置転換・退職・退任に際し、適切な情報セキュリティ評価を行います。
(2) 機密情報・重要システムへアクセス可能な従業員、特権権限を付与された従業員については適切に職務分掌し、権限を分散します。併せて、一般教育（セキュリティリテラシー教育）を実施し、人員・設備のバックアップ体制を整備します。

2. 利用者教育および守秘義務
(1) 新入社員・在職社員は守秘義務誓約書に署名し、職務上の守秘義務を徹底します。
(2) 従業員は当社の情報セキュリティ方針を理解し遵守します。
(3) 職位・職務に応じた情報セキュリティ教育を実施します。
(4) コンピュータセンターは随時、情報セキュリティに関する情報を周知します。
(5) 必要に応じ、外部の研修・セミナー・展示会等へ参加します。

3. セキュリティ／障害事象の報告・対応
(1) 従業員の情報セキュリティ作業手順および責任範囲（機器の保管・使用上の注意を含む）を定めます。
(2) 情報セキュリティ状況に関する権限委譲・対応レベルを定めます。

C. 資産分類と統制
1. 情報資産台帳
情報資産一覧は各所管部門が提供し、情報資産番号および一覧の完全性を確保します。情報資産は性質に応じ、ハードウェア／ソフトウェア／通信／データ／人員／文書／環境の7分類とします。

（1）ハードウェア資産
(1) サーバ、PC、ノートPC、モニタ、プリンタ等
(2) ルータ、スイッチ、モデム、FAX等
(3) テープ、光ディスク等の記録媒体および装置
(4) UPS、発電機等の設備

（2）ソフトウェア資産
(1) OS、アプリケーション、ユーティリティ、ネットワークソフト等

（3）通信資産
(1) LANおよび通信サービス

（4）データ資産
(1) DB、アプリ、バックアップデータ等
(2) 電子化文書（マニュアル、教育資料等）

（5）人員資産
(1) 全従業員（職位・職務区分）、警備担当等

（6）文書資産
(1) 管理文書（システム文書、手順書、規程等）
(2) 記録文書（申請書、調達／保守契約等）

（7）環境資産
(1) 電源設備、空調設備等

2. 情報資産の格付け・表示
(1) 情報資産台帳を整備し、機密性・完全性・可用性の観点で格付けを行い、台帳に表示します。
(2) 重要な実体資産については、許容停止時間（可用性レベル）または緊急対応要件に基づき表示し、緊急時対応に備えます。

3. 情報資産の安全管理（統制）
（1）ハードウェア統制
(1) 社外者のアクセスは原則禁止（許可制）
(2) 機微資産はパスワード等で保護し、許可された者のみアクセス
(3) 記録媒体によるバックアップを実施し適切に保管（機微媒体は施錠保管）
(4) 廃棄時は復元不能化（フォーマット／消磁／必要に応じ物理破壊）

（2）ソフトウェア統制
(1) 著作権・ライセンス遵守
(2) 不明な入手元ソフトはウイルスチェック／検証後に利用

（3）通信統制
(1) 設置環境に応じた保護
(2) 電力安全の確認、配線保護
(3) 定期点検・保守、必要時のテスト実施

（4）人員統制
(1) 基礎教育および定期教育の実施
(2) 機微情報取扱者・重要職務者の選定（適性・能力確認）
(3) 異動・退職時の権限変更および資産引継ぎ

（5）データ・文書統制
(1) 書面は許可者のみ閲覧・利用
(2) 機微書面は施錠保管し、許可者のみ閲覧
(3) 廃棄はシュレッダー／焼却（機微文書は監督者立会い）

（6）環境統制
(1) 設置環境の保護
(2) 電力安全・配線保護
(3) 定期保守・点検、必要時テスト
(4) 廃棄時は情報消去を実施

四、物理的および環境的セキュリティ管理
(1)セキュアエリア
(1) コンピュータ室および重要な情報機器が設置されているエリアは、管理職によるアクセス制御と監視の対象とする必要がある。
(2) コンピュータ室に関するセキュリティ管理規則を策定する（例：喫煙および飲食の禁止）。
(3) 機密コンピュータホスト／サーバは、指定された担当者によって管理される必要がある。
(4) 機密コンピュータホスト／サーバが設置されている制限区域への入退出にあたっては、記録保管および追跡可能性確保のため、管理職以外の担当者はアクセス制御フォームに記入・署名する必要がある。

(2)機器のセキュリティ
(1) 機器の保守は、権限を与えられた管理・保守担当者によって実施される必要がある。
(2) 機器のセキュリティ管理規則を策定する（例：電源供給およびバックアップ電源）。
(3) 特別な保護を必要とする機器は、一般機器から適切に分離する必要がある。
(4) 従業員の個人情報機器（例：携帯電話、ポータブルハードドライブ）に必要なセキュリティ管理手順を実施する。 (5) 情報機器の配置は、安全の観点から検討されなければならない。
(6) 情報機器の配置は、火災、煙、水、粉塵、振動、化学物質の影響、電源の問題、電磁放射線といった潜在的な危険性について検討・評価されなければならない。
(7) すべての安全装置は定期的に点検されなければならず、従業員は安全装置の使用に関する適切な訓練を受けなければならない。
(8) コンピュータ室の温度と空調設備の正常な動作を確認するために、温度計と湿度計を設置し、コンピュータ室の情報機器の安全な動作を確保しなければならない。
(9) コンピュータ室は平日に点検され、日々の点検と出勤記録が実施され、機器の日常的な動作と安全性が確保されなければならない。

(3)一般的な管理措置
(1) ポータブルコンピュータ機器には、厳格な保護措置（パスワード保護、ファイル暗号化、専任の監視人員など）を講じ、これらの措置を厳格に実施する必要があります。
(2) 機密データを処理するコンピュータは、使用していないときはシャットダウン、ログアウト、画面パスワードの設定、またはその他の管理措置により保護する必要があります。

D. 通信および運用管理
1. 作業手順および責任
(1) 重要な情報処理設備に関する各種安全運用手順を定めます。
(2) 情報セキュリティ事件の通報手順を定め、規定に従い確実に通報します。
(3) 重要な情報処理設備について、適切に操作手順および管理責任を定めます。
(4) 重要システム変更の手順記録を整備します。
(5) システム開発および本番運用は、異なるシステム環境で区分して実施します。
(6) 事業者と情報セキュリティ処理協定を締結する場合は、関連する安全維持責任を付与し、契約条項に盛り込みます。
(7) 情報システム利用、データ登録、システム操作、ネットワーク管理、システム開発保守、変更管理、安全管理等の業務は、原則として職務分掌により異なる担当者が実施します。
(8) セキュリティ要求の高い情報業務については、情報セキュリティ管理および実行責任を分散します。
(9) 情報セキュリティ事件対応の過程は、追跡・改善検討のため、完全な記録を残します。
(10) 情報セキュリティ緊急対応手順として、年1回の災害復旧訓練およびテストを定期実施し、記録報告書を作成して高層管理者へ報告します。
(11) コンピュータ障害およびサービス中断時の緊急対応手順を定めます。

2. マルウェア（悪意あるソフトウェア）対策
(1) コンピュータシステムおよびデータ保存媒体に対し、定期的にウイルス・悪意あるプログラムのスキャンを実施します。
(2) サーバおよびPCは全面的にウイルス対策ソフトを導入し、ウイルス定義ファイルを即時更新します。
(3) コンピュータウイルスに関する最新情報を随時周知します。
(4) 電子メール等を通じて、外部由来または内容不明のファイル／E-mailは開封前にウイルススキャンを行うよう継続的に注意喚起します。
(5) ソフトウェアライセンス規定：未許諾ソフトウェアの使用を禁止し、年1回、情報ソフトウェアの全面棚卸を実施します。
(6) 電子メールのソーシャルエンジニアリング演習を定期実施し、誤ってメールやリンクを開いた者に対し教育訓練を行い、関連記録を保存します。

3. 日常業務処理
(1) 重要データおよびソフトウェアは、定期的にバックアップを実施します。
(2) バックアップデータを定期的に検証し、可用性を確保します。
(3) バックアップデータは原則として異地保管とし、安全基準を満たす場所に保管します。
(4) 重要データのバックアップは、3世代以上（日次バックアップの直近3日分）を保存します

4. ネットワーク管理
(1) 適切なファイアウォール機構を運用し、情報システムの安全を防御します。
(2) ネットワーク運用環境の脆弱性について、原則として定期検査を行い、管理スケジュールによりファイアウォールの防護コードを日次更新します。
(3) 電子メール等を通じて、コンピュータネットワーク安全事項を随時周知します。
(4) コンピュータネットワーク安全統制事項の実施状況を定期的に見直します。

5. 記録媒体の取扱いおよび安全
(1) 記録媒体は保存規格要件に従い、安全な環境で保管します。
(2) 機微情報の送信は、データ暗号化等の保護措置を講じます。
(3) 可搬媒体に保存される機微データは、暗号化／復号等またはその他の保護措置を適用します。
(4) 機密性または機微性データを含む媒体（HDD、USB等）の廃棄は、指定担当者が処理するか、入退室管理区域にて保管します。
(5) 媒体廃棄は、関係部門主管と協同してデータ確認を行い、上級主管の承認を得たうえで、実体廃棄を実施します。

6. 情報・ソフトウェアの交換
(1) 重要システム文書の送付先は、システム責任者の承認を要します。
(2) 重要システム文書のアクセスは、アカウント・パスワードによる権限付与とし、安全を確保します。
(3) 重要データ文書およびソフトウェアの更新・切替時は、バージョン、数量、その他詳細情報を記録します。
(4) 電子データ交換（EDI）を行う場合、データの安全等級に応じ、アカウント・パスワード管理、暗号化、電子署名認証等の保護措置を適用します。
(5) 機微データの処理過程では、厳密な電子署名、認証、暗号化／復号等の安全保護機構を適切に活用します。

7. 個人用電子メール利用原則
(1) 電子メールの濫用により生じ得る問題（虚偽情報の拡散、わいせつ画像・文章の転送、他者文章の転送、広告メール、企業営業秘密の漏えい等）を踏まえ、個人用電子メールの利用について規範・周知を行います。
(2) 電子メール（e-mail）の利用原則
(a) 虚偽情報の拡散、わいせつ画像・文章の転送、他者文章の転送、虚偽内容による名誉毀損、広告メール、機密漏えいの疑い等に該当する場合、従業員本人が関連法的責任を負います。
(b) 当社の電子メール利用にあたっては、行政倫理、知的財産権、国家機密保護関連規定、個人情報保護法等の関連規定を遵守します。
(c) 従業員が電子メールを受信した後は、原則として速やかにメールサーバから当該メールを削除し、サーバ容量の過度な占有を回避します。なお、連絡記録およびログ（LOG）ファイルは監査・確認のため保管します。
(3) 電子メールアカウントの申請および取消
(a) 入社時、従業員は「システム／電子メールアカウント申請書」を提出し、部門主管の連名で稟議承認を得た後、部門階層に従って董事長の承認を受けます。コンピュータセンターは申請内容および項目に応じ、申請対象のネットワーク権限を付与します。
(b) 退職後、情報部門がネットワーク利用権限を取消したうえで、電子メールアカウントを削除します。もしくは2週間の猶予期間を設け、後任引継者へ移管します。

E. アクセス制御
1. 外部アクセス運用要件
(1) 外部組織へデータアクセスを開放するための手順を定めます。
(2) 保守ベンダーによるシステム保守またはデータアクセスを開放する場合、保守契約等の書面に双方の権利義務および違反時の処分方式を明記します。
(3) 業務上必要な外部アクセス（上流下流事業者、保守ベンダー、委託業者、臨時雇用者等を含む）は、リスク評価を実施したうえで開放し、権限を厳格に統制します。

2. 利用者アクセス管理
(1) 利用者権限の閲覧・管理について管制機構を設け、非関係者に知られないよう管理します。
(2) 利用者異動申請データは随時更新し、関連文書を保存します。
(a) アカウント・パスワード申請情報を厳密に保管します。
(b) 重複または休眠アカウントを定期点検し削除します。
(c) パスワード失念時は、厳格な本人確認手順を設けます。
(3) パスワードに個人情報（誕生日、身分証番号、部門略称、電話番号等）を使用しないよう周知し、他人のアカウント借用を禁止します。
(4) 規定の期限に従い、パスワード変更を実施します。
(5) パスワードは最低6文字（6桁）以上とします。
(6) 複数利用者が使用する情報システムについては、利用者登録管理手順および記録を整備します。

3. ネットワークアクセス制御措置
(1) 各アプリケーションの安全要件に応じ、安全等級または分類を制定します。
(2) ネットワーク形態（Internet／Intranet／Extranet）に応じ、適切な権限管理方式を定めます。
(3) 情報システムおよびネットワークサービスは、原則として共用アカウントの使用を回避します。
(4) ネットワークサービスは、完全な利用承認手順を整備します。
(5) 環境または業務要件に応じ、ファイアウォールで管理ポリシーを適切に設定します。
(6) 業務性質または任務分担に基づき、論理ドメインの権限機構（例：VPN）を構築します。
(7) 外部接続は、接続元ユーザーアドレスの確認による識別機構を整備します。
(8) リスク評価に基づき、ファイアウォール管理により利用者の接続機能を制御します。
(9) 接続元・接続先アドレスおよびネットワーク経路の監視統制措置を設置します。

4. OSアクセス制御措置
(1) ログインを制限し、一定時間操作がない場合は接続を中断します。
(2) 異常ログインはログ（LOG FILE）を保存し、担当者が定期確認します。
(3) 利用者は専用の識別ID、または追跡可能なグループIDを付与します。
(4) システム導入後は、ベンダー初期パスワードを直ちに変更します。
(5) 年1回、階層に応じて全アカウント権限と保有者の責任権限が整合しているか確認し、記録を保存します。

5. アプリケーションアクセス制御措置
(1) アプリケーション評価時、作業終了後または一定時間無操作時の自動ログアウト機構を考慮します。
(2) パスワードファイルは原則として乱数暗号化方式により暗号化して保管します。
(3) 共用システムプログラムは厳格な本人認証手順により利用します。
(4) 共用パラメータ変更の承認手順と承認レベルを定め、電子または紙で変更・設定記録を保存します。
(5) 高リスクのアプリケーションまたはDBは、接続要件を厳格に制限します。
(6) 機密データ処理は、独立または専用の作業環境で実施します。
(7) アプリケーションの更新版は適切に保管します。

6. 監視システムのアクセス制御
(1) 例外事象、アクセス異常、情報セキュリティ事件は記録し、必要な措置を講じます。
(2) 記録内容には、可能な限り利用者ID、機器識別情報またはURL、ログイン／ログアウト日時、事象説明等を含めます。
(3) 定期的にアカウント権限の利用状況と配置状況を点検します。
(4) 機微データへのアクセス状況は、原則として記録し保存します。
(5) アプリケーション原コード、DB、実行ファイル等のアクセスは、指定担当者が管理・保管します。

7. モバイルPC運用
(1) 各部門の可搬PCは情報部門が台帳管理し、利用者は実体管理およびソフトウェア／データの安全管理責任を負い、利用ソフトウェアの適正・合法性についても責任を負います。

F. システム開発および保守
1. システムの安全要件
(1) サーバOS更新（hotfix）は、正当なライセンス手順に従い、更新の妥当性を十分に評価・確認し、既存の安全対策を損なわないよう実施します。
(2) 重大な変更前には、変更範囲、時間、影響等を電子メール等で事前周知します。

2. アプリケーションの安全
(1) 変更後は、関連統制措置および手順が有効であることを確認します。
(2) 企画・分析段階で安全要件を考慮します。
(3) 実行コード更新記録を整備します。
(4) バージョン更新時は旧版ソフトウェアおよびシステム文書を保管します。
(5) 実行コード更新は、許可された管理者のみ実施可能とします。

3. パスワード統制措置
高機微データの送信または保管においては、暗号化技術を使用します。

4. システムファイルの安全
システムファイルの安全統制方式は、実情に応じて自動統制または手動統制のいずれか、または両方を適用します。

5. 委託開発における安全
(1) 委託開発契約において著作権帰属を明確化し、資安要件を盛り込みます。
(2) 開発・テスト・本番運用は、異なるサーバまたは異なるDB環境で区分します。
(3) ベンダーとの契約において履行条項および罰則を定めます。

6. パッケージソフトウェア利用規範
(1) 改修時はベンダー著作権侵害の有無を確認します。
(2) Service packの更新は定期的に評価し、必要に応じて更新します。
(3) サブスクリプション型ソフトウェアは契約期間中、販売代理店と保守契約を締結し資安要件を盛り込み、保守・技術支援の運用を確保します。

G. 内部監査およびその他
1. 方針・技術適合性の観点
(1) 関連措置は、内部監査のため記録を残します。
(2) システムログ等、情報セキュリティ関連の記録ファイルを定期的にレビューします。
(3) 情報セキュリティ関連記録（作業日誌、バックアップ記録等）を定期的にレビューします。
(4) 情報セキュリティ関連記録ファイルは、指定担当者が管理します。
(5) 適切な監査ツールを用い、PC内のソフトウェア使用状況を点検します。
(6) ソフトウェア使用記録およびデータの保管・処理・廃棄規則を定めます。
(7) 情報セキュリティ関連記録ファイルを保存し、侵入追跡の証拠として活用できるシステムを整備します。

2. 内部監査の観点
(1) 当社の内部監査管理規定を制定します。
(2) 情報セキュリティ事項の実施状況を定期監査します。
(3) 情報セキュリティ監査計画（監査内容・範囲・手順・担当者）を定め、公布します。
(4) 監査担当者は訓練を受け、事前に作業分担を行います。
(5) 監査結果は、背景説明、監査項目、過程、結果、改善提案等を含めます。
(6) 監査結果は文書化し、保管します。

3. 法令遵守
(1) 情報部門、法務担当または監査担当は、個人情報保護法、組織記録保護法、知的財産権保護法等の関連法令について、収集・公告・実施を随時行います。
(2) 情報セキュリティ関連記録ファイルは、「個人情報保護法」に基づく保存規範に従い管理します。

（4）情報セキュリティインシデントの通知および対応手順

（5）附則
1. 施行
本行動規範は、取締役会の承認を得て発効するものとし、変更についても同様とする。
制定：中華民国113年12月19日、取締役会において可決。