资讯安全风险管理
资通安全风险管理架构
- 本公司稽核室为资讯安全之督导单位,负责资安执行状况之稽核,提出相关改善计画与定期追踪,以降低资安风险。
- 本公司于114年11月18日经董事会通过资讯安全主管任命案,未来将视需求定期向董事会报告资讯安全执行情形。
资讯安全政策
113年12月订定
壹、目的
为确保本公司资讯业务之永续运作,强化资讯通讯安全管理,建立安全及可信赖之电子化环境,以确保电脑资料、资讯系统、资讯设备及网路设备之安全。
贰、范围
凡本公司庶务用个人电脑(非测试用途、非治夹具设备)与资讯系统、档案分享系统等直接网路连线之个人电脑、伺服主机、网路设备以及运用上述设备、系统的公司员工均适用本管理办法。
参、资讯安全政策
本公司为达成资讯安全目标,订定之资讯安全政策,由资讯单位负责办理,并于每年自行评估一次,以反映公司现况、资讯技术及业务等最新发展状况,确保资讯安全实务作业之有效性。
为落实资讯安全管理,本公司相关的资讯安全管理,以书面或电子方式公告周知本公司员工共同遵行。
一、资讯安全涵盖对象:
(1)管理制度
(2)作业流程
(3)人员
(4)软体
(5)应用系统
(6)电脑作业系统
(7)硬体
(8)网路设备
(9)手持行动设备
(10)资料、文件、媒体的储存以及
(11)实体设施等。
资讯安全管理之范围:
本公司资讯安全管理涵盖九项资讯安全管理事项,以避免如因人为疏失、蓄意或天然灾害等因素,遭致不当使用、泄漏、窜改、破坏等情事,而对本公司可能带来之风险及危害程度。其安全管理事项如下:
(A)资讯安全组织。
(B)人员安全与管理。
(C)资产分类与控管。
(D)实体与环境安全管理。
(E)通讯与操作管理。
(F)存取控制。
(G)系统开发与维护。
(H)内部稽查及其他。
A.资讯安全组织
一、组织架构
(1)本公司为统筹资讯业务之整体规划、评估、督导、协调、推动以及安全等事项,特设电脑中心。
(2)电脑中心设置功能主管一人,专员一人。
二、组织任务
(1)负责规划、执行与控管全公司资讯安全工作,办理风险评估、系统安全控管措施。
(2)监督资讯安全管理事项,进行资讯安全政策符合性检查。
(3)资讯机密维护及稽核资讯设备、网路的使用管理事项。
(4)公司内因业务需要开放给外部单位存取资讯之风险评估与存取权限之严格控管。
B.人员安全与管理
一、人员工作及资源分配安全
(1)对于人员之进用、调派、离职或退休,进行适当调整之资讯安全评估。
(2)对于可存取机密性、敏感性资讯或系统之员工以及赋予系统存取特别权限之员工有妥适分工,分散权责;并实施人员通识教育训练,建立人员及设施备援机制。
二、使用者训练及保密职责
(1)新进、在职员工须签属公司保密条款切结书,以确保员工落实职务之保密职责。
(2)员工必须了解公司之资讯安全政策。
(3)依员工职务层级进行适当的资讯安全教育训练。
(4)电脑中心随时公告资讯安全相关讯息。
(5)不定期派员参与外界举办的相关训练、研讨会、产品展示会。
三、安全及失效事件反映及处理
(1)订定规范员工的资讯安全作业程序与权责(含保管使用设备及作业须知)。
(2)订定有关资讯安全状况授权处理层级。
C.资产分类与控管
一、资讯资产清单由各权责单位提供,并确保资讯资产编号及清单之完整性。资讯资产依其性质不同,分类为七类:硬体、软体、通讯、资料、人员、文件、环境。资讯资产分类与控管如下:
(一)硬体类资产
(1)电脑设备,例如:伺服器、主机、萤幕、笔记型电脑、个人电脑及印表机等。
(2)通讯设备,例如:路由器、网路交换器、数据机、传真机等。
(3)储存媒体,例如:磁带、磁带机、磁带柜、光碟片及光碟机等。
(4)其他技术设备,例如:不断电系统及机房用发电机等。
(二)软体类资产
(1)套装软体,例如:系统软体、应用软体、公用软体、网路软体等。
(三)通讯类资产
(1)区域网路及通讯服务。
(四)资料类资产
(1)系统资料,例如:资料库、应用程式及备份资料等。
(2)电子化储存之文件档案,例如:系统或软体使用手册及教育训练教材等。
(五)人员类资产
(1)包含所有员工(依职等职务分)及保全人员等。
(六)文件类资产
(1)书面管理文件,例如:系统文件、使用手册、各种程序书及管理办法等。
(2)书面纪录,例如:申请表单及采购/维护合约等。
(七)环境类资产
(1)电力系统、空调系统等。
二、资讯资产分级及标示
(一)为确保资讯资产得到最妥适之处理,应建立资讯资产清册,并于清册中标示各项资讯资产之机密性、完整性及可用性分级。
(二)重要实体类资讯资产应依可用性等级(可接受中断时间)或紧急应变处理作业需求进行标示,以利紧急处理。
三、资讯资产安全管制
(一)硬体类控管
(1)限机关内部人员存取之资讯类资产,机关以外人员非经授权不得存取。
(2)具机敏性资讯资产应设密码保护,经过授权后方可存取。
(3)应采用储存媒体(如磁带、光碟片、硬碟)进行备份,并应妥为保管,机敏性资讯之备份媒体应置于上锁柜内。
(4)如须废弃时,非属公开资讯者应确保不被复原,磁片或硬碟等储存媒体需格式化或消磁,必要时,须采用实体破坏。
(二)软体类控管
(1)软体使用应符合版权要求。
(2)不明来源之软体或从网路下载之软体应先进行扫毒或测试。
(三)通讯类控管
(1)应考量其设置环境,并应有适当之保护。
(2)应评量其电力使用安全,缆线应有适当保护。
(3)应定期进行保养及维护,必要时,应进行测试。
(四)人员类控管
(1)人员应进行资讯安全基本认知及定期教育训练。
(2)应对接触机敏性资讯及业务之人员或重要职务工作者之背景及工作能力进行筛选。
(3)人员于调离职时应进行权限变更并办理资讯资产移交。
(五)资料及文件类控管
(1)限经授权人员查阅运用之书面文件,非经授权不得查阅及运用。
(2)具机敏性之书面文件,应保存于上锁柜内,经授权方得以查阅及运用。
(3)如须废弃时,非属公开文件者应以碎纸机销毁或烧毁,具机敏性文件并需由相关人员监督其过程。
(六)环境类控管
(1)应考量其设置环境,并应有适当之保护。
(2)应评量其电力使用安全,缆线应有适当保护。
(3)应定期进行保养及维护,必要时,应进行测试。
(4)于报废时应将资讯清除。
四、实体及环境安全管理
(一)安全区域
(1)电脑机房及重要资讯设备区域,对于进出人员必须由管理人员作必要之门禁管理及监督其活动。
(2)订定电脑机房安全管理规定(如禁止抽烟及饮用食物等)。
(3)机密性电脑主机/伺服器必须由专人管理。
(4)进出入机密性电脑主机/伺服器管制区域,非职务管理人员需填写签名进出入管理表单,以备纪录及追溯。
(二)设备安全
(1)设备之维护必须由授权之管理维护人员执行。
(2)订定设备安全管理规定(如电源之供应及备援电源等)。
(3)需特别保护之设备应该规划与一般设备作适当区隔。
(4)对于员工的私人资讯设备(如手机、行动碟)作必要之安全控管程序。
(5)资讯设备之放置与摆设必须作安全上之考量。
(6)资讯设备之放置应该检视及评估火、烟、水、灰尘、震动、化学效应、电力供应、电磁幅射等加诸于设备之危害的可能性。
(7)各项安全设备必须定期检查,员工必须施予适当的安全设备使用训练。
(8)设置温湿度计设施,以确认机房温度及空调设备正常运作,进而确保机房资讯设备安全运作无虞。
(9)设备机房应于工作日确认,每日进行机房设备巡视及签到机房日志表单,以确保每日设备之运作及安全性。
(三)一般控制措施
(1)携带型的电脑设备订有严谨的保护措施(如设密码保护、档案加密、专人看管)并落实执行。
(2)处理敏感性资料的电脑,不使用时应加以关机、登出、设定萤幕密码或是以其他控制措施进行保护。
D.通讯与操作管理
一、作业程序与责任
(1)订定各项重要资讯处理设备的安全作业程序。
(2)订定资讯安全事件通报程序并确实依规定通报。
(3)重要资讯处理设备,应适切订定操作程序及管理责任。
(4)建立重要系统变更之程序记录。
(5)系统开发及正式作业必须区隔在不同的系统环境下处理。
(6)与业者签订资讯安全处理协定时,应赋与相关的安全维护责任,并纳入契约条款。
(7)资讯系统之使用、资料建档、系统操作、网路管理、系统发展维护、变更管理、安全管理等工作原则上必须权分由不同的人员执行。
(8)对安全要求高的资讯业务,必须将资讯安全管理及执行的责任分散。
(9)资讯安全事件处理的过程均应留有完整记录,以利追踪检讨。
(10)资讯安全紧急应变处理程序,包含定期每年1次灾害还原演练及测试,并记录报表及呈报高层管理人员。
(11)订定电脑当机及服务中断后之紧急处理程序。
二、恶意软体防范
(1)定期对电脑系统及资料储存媒体进行病毒以及恶意程式扫瞄。
(2)伺服器与个人电脑全面使用防毒软体并即时更新病毒码。
(3)应即时公告有关电脑病毒的最新资讯。
(4)经常性透过电子邮件宣导,对于外来及内容不确定的档案或 E-mail 在开启使用前,要先作电脑病毒扫瞄。
(5)软体授权规定:禁止使用未取得授权的软体,于每年进行一次全面资讯软体盘查。
(6)定期办理电子邮件社交工程演练,并对误开启信件或连结之人员进行教育训练,并留存相关记录。
三、日常事务处理
(1)对重要的资料及软体,应定期作备份处理。
(2)定期检测备份资料,以确保备份资料之可用性。
(3)备份资料原则上采用异地存放,存放于符合安全标准之场所。
(4)重要资料的备份应保留三代以上(每日备份之三日)。
四、网路管理
(1)适切的使用网路防火墙机制,以防御资讯系统安全。
(2)对网路运作环境之安全漏洞,原则上应定期进行检测,透过管理排程于每日更新线上防火墙防护安全码。
(3)随时透过电子邮件公告有关电脑网路安全之事项。
(4)定期检讨电脑网路安全控管事项之执行。
五、储存媒体的处理与安全
(1)储存媒体依保存规格要求,存放在安全的环境。
(2)对于敏感性资讯之传送,应采取资料加密等保护措施。
(3)存放在可携式媒体内之敏感性资料,需使用加解密或其他保护措施。
(4)对于内含机密性或敏感性资料的媒体(硬碟机、USB存储装置)报废,应指定专人处理或放置于受管制进入区域存放。
(5)储存媒体之报废,必须协同部门主管进行资料检核确认后,并签报上级主管核可后,方可进行实体报废作业。
六、资讯与软体间交换
(1)重要系统文件发送对象,必须经由系统负责人的授权。
(2)重要系统文件的存取,应结合帐号密码赋予适当的存取权限,以保护系统文件的安全。
(3)对于重要资料文件及软体之更替使用,需详细记载版本、数量及其他详细相关资讯文件。
(4)采行电子交换之资料交换(EDI),须视资料之安全等级采行帐号密码管制、电子资料加密或电子签章认证等保护措施。
(5)敏感性资料的处理过程,应适切运用严密的数位签章、认证及加解密等安全保护机制。
七、个人电子信箱使用原则
(1)有鉴于电子邮件的滥发可能衍生的相关问题 (如散布不实谣言、转寄色情图片或文字、转寄他人文章、广告邮件、泄漏企业营业秘密等),故个人电子信箱的使用应该加以规范与宣导。
(2)电子邮件(e-mail)的使用原则
(a)电子邮件的使用如牵涉散布不实谣言、转寄色情图片或文字、转寄他人文章、不实内容的电子邮件毁谤名誉、广告邮件、涉嫌泄漏机密等,将由员工个人负起相关的法律责任。
(b)使用本公司的电子邮件,须遵守行政伦理、智慧财产权、国家机密保护办法、个人资料保护法等等相关规定。
(c)员工接收电子邮件后,原则上应立即自邮件伺服器中删除该邮件,以避免过度占用邮件伺服器空间,仅保留通联记录及LOG档案备查。
(3)电子信箱之申请及取消
(a)员工到职时,应填写[系统/电子邮件帐号申请表],经单位主管共同提具签呈文件签核后,依单位层级呈递至董事长核准后,电脑中心依申请内容及项目区别,开放其申请对应项目内容之网路权限。
(b)员工离职后,资讯单位取消网路使用权后,其电子信箱一并删除,或暂留2周期限并交予后续承接之人员。
E.存取控制
一、存取控制之维运要求
(1)订定开放给外部单位作资料存取之程序。
(2)开放给维护厂商作系统维护或资料存取,应于书面文件(如维护合约)中包含双方权利义务及违约处分方式。
(3)严格控管因业务需要开放给外部单位之存取权限(含上下游业者、维护厂商、委外承包商、临雇人员等),并应该经过风险评估后才开放。
二、使用者存取管理
(1)使用者存取权限的检视,应订定管制机制,避免被非相关人员知晓。
(2)对于使用者异动申请资料,随时更新并保留相关文件资料
(a)严密保存使用者帐号密码之申请资料。
(b)定期检查并删除重覆或闲置的使用者帐号。
(c)对于忘记密码之处理,应有严格的身份确认程序。
(3)对所有员工宣导,避免使用与个人有关资料(如生日、身份证字号、单位简称、电话号码等)当做密码,并不得借用他人帐号密码使用。
(4)密码的使用须依规定的期限,进行密码变更设定。
(5)密码设定应规范至少六码(含)以上。
(6)对于多人使用之资讯系统,须建立使用者注册管理程序及纪录。
三、网路存取控制措施
(1)依据个别应用系统的安全需求,制定安全等级或分类。
(2)依据网路型态(Internet、Intranet、Extranet)订定适当的存取权限管理方式。
(3)资讯系统与网路服务,原则上尽量避免使用共同帐号。
(4)网路服务须建立完整的使用授权程序。
(5)依环境或业务需要,于网路防火墙作适当调整管理政策之设定。
(6)依业务性质或任务分配来建置逻辑性网域的存取权限机制(如虚拟私有网路 VPN)。
(7)外部连线须建置可透过检查来源用户位址的机制鉴别方法,以找出连线作业的来源。
(8)依风险评估透过防火墙管理及管制使用者的连线功能。
(9)设置检测连线的来源位址与目的位址网路路由之控管措施。
四、作业系统存取控制措施
(1)限制登入作业,在一定期间闲置未操作时,即应予于中断连线。
(2)对于异常的登入程序,应保留纪录(LOG FILE),并有专人定期检视。
(3)使用者均应有专属的识别码或可供追踪的群组识别码。
(4)系统软体安装完毕后,须立即更新厂商所预设之密码。
(5)每年应定期依层级覆核系统作业所有帐号权限与持有人之权责是否相符,并留存纪录备查。
五、应用系统存取控制措施
(1)评估应用系统时,须考虑具有作业结束后或在一定时间内未操作时即自动登出之保护机制。
(2)应用系统的密码档,原则上应以乱数加密法则加密后再存入档案。
(3)系统共用程式必须经过严格身份认定程序才能使用。
(4)订定系统共用参数的异动授权程序、授权等级,以电子格式或纸本型态保存系统共用参数的异动以及设定纪录。
(5)对风险性高的应用程式或资料库系统必须严格限制其连线作业需求。
(6)机密性资料的处理必须于独立或专属的电脑作业环境中执行。
(7)妥善保存应用系统的各种更新版本。
六、监控系统存取控制措施
(1)例外事件、系统存取异常及资讯安全事件必须建立纪录作必要处置。
(2)事件之记录内容尽可能包括使用者识别码、电脑的识别资料或其网址、登入登出系统之日期时间及事件描述等事项。
(3)定期查核系统存取权限的帐号使用及配置情形。
(4)敏感性资料的存取情形,原则上必须留有纪录备查。
(5)指定专人管理应用程式原始码、资料库及执行档的存取与保管。
七、行动式电脑作业
(1)各单位的可携式电脑使用,由资讯单位列册管理,使用者应负保管实体以及管理软体资料安全的责任,且应负责其使用软体之正确合法性。
F.系统开发与维护
一、系统之安全要求
(1)伺服器更新作业系统[hotfix]<应依正当的授权程序办理,并确实评估检视更新作业妥适与否,以确保更正作业未破坏系统原有的安控措施。
(2)系统有重大变更前,应主动透过电子邮件公告异动的范围、时间以及可能的影响。
二、应用系统之安全
(1)应用系统变更后,其相关控管措施与程序应检查以确保仍然有效。
(2)应用系统在规划分析时,应将安全需求纳入考量。
(3)建立应用程式执行码的更新纪录。
(4)版本更新须保留旧版软体及系统文件。
(5)应用程式执行码更新作业,应限定只能由授权的管理人员才可执行。
三、密码控制措施
对高敏感性的资料在传输或储存过程中,应使用加密技术。
四、系统档案之安全
系统档案安全控管方式,依实际状况订定采用系统自动控管或者人工控管两种方式来处理。
五、开发资讯系统的安全
(1)委外开发合约中,应对著作权之归属订有规范内容并且纳入资安相关要求。
(2)开发、测试与正式作业,应区隔使用不同的伺服主机或不同资料库区分。
(3)与厂商订约开发资讯系统时,应签订履行条款与相关罚则。
六、订定套装软体使用规范
(1)修改套装软体时,应确认有无涉及厂商的版权问题。
(2)定期进行套装软体之 Servic pack 的更新评估及更新作业。
(3)订阅制套装软体于合约期间,应与经销厂商签订相关维护合约并且纳入资安相关要求,以利系统维护及技术支援之运作。
G.内部稽查及其他
一、安全政策与技术符合性之考量
(1)相关措施必须留下相关记录档案供内部稽核。
(2)定期审阅系统内与资讯安全相关的记录档案(系统 Log)。
(3)定期审阅资讯安全相关的记录档案(如工作日志、备份记录)
(4)应有专人负责管理与资讯安全相关的记录档案。
(5)使用适当稽查软体工具,检查所有个人电脑内使用之软体。
(6)订定软体使用记录与资料的储存、处理及报废的规则。
(7)建置可保留资讯安全相关的记录档案之系统,并且足以做为追踪骇客入侵的证据。
二、内部稽核考量
(1)订定本公司内部稽核管理规定。
(2)定期稽查资讯安全事项办理情形。
(3)应订有资讯安全作业稽查计画(含稽查内容、范围、程序、人员),并公布。
(4)稽查人员须经过训练并作事前工作分配。
(5)稽查结果包括背景描述、稽查项目、过程、结果、改进建议等内容。
(6)稽查结果应该制成文件留存备查。
三、符合法规要求
(1)资讯单位、法务人员或稽核人员应随时执行有关个人资料保护法规、组织纪录保护法、智慧财产权保护法、之搜集、公告、实施作为。
(2)资讯安全相关的记录档案,应依「个人资料保护法」规定办理保存规范
肆、资讯安全事件通报与应变作业流程
伍、附则
一、实施
本守则经董事会通过后施行,修正时亦同。
制定:民国113年12月19日董事会通过。