资讯安全管理架构

新普科技之高阶主管会定期关注资讯安全议题,且资讯安全权责单位为资讯部,负责规划资讯安全相关规范并落实,资讯部主管会定期参与企业内部资讯 安全相关会议,并定期关注资讯安全相关议题;此外稽核室为资讯安全监理之查核单位,每年会就内部控制制度―电子计算机循环,进行资讯安全查核,藉以评估公司资讯作业内部控制之有效性。

资讯安全政策

为保护公司所属资讯资产免于受到遭受蓄意或意外之破坏,并确保企业永续经营,制定本资讯安全政策,以确认本公司重要资讯资产之安全,包含:

 
 

资讯安全具体管理方案

新普科技资讯部制定资讯系统管理程序,其适用范围为使用公司电脑资讯系统与企业网路资源均适用之,希望藉由此程序之制定与同仁对制度的落实来确保公司资讯资料之正确性及安全性,提供管理资讯并协助各单位资料之处理,管理程序主要控管内容包含下列事项 :

  • 电脑系统资源之使用与取消:规范同仁在工作上所需使用之电脑系统资源的使用控管要求,包含PC/NB的使用申请、电脑软体安装、公务NB携出厂外之上网功能控管以及离职人员之电脑资源使用权及帐号之取消等。
 
  • 资料备份与灾害复原:规范资讯资料备份作业之控管要求,依照定义好之备份周期,于备份软体设定之排程,将伺服器资料档案及资料库资料备份至磁带或异地硬碟柜。备份软体备份工作成功或失败会发出通知Email,管理人员需即时处理与解决备份异常,确保备份正确完成。当灾害发生时需进行资料复原作业,并订定相关单位之权责以及要求管理人员需定期(每半年且不定时)实施灾害复原测试。
 
  • 电脑病毒管理:规范公司针对电脑病毒之防范作法,包含所属之电脑皆须安装公司授权之防毒软体并定期更新病毒码、需透过Windows Update伺服器定期进行系统与安全性更新、透过Proxy和防火墙控管Internet行为。
 
  • 电子邮件管理:规范电子邮件之使用规则,包含收件人数管理、电子邮件单封容量大小、私人Email收发管理和外部收发公司邮件等管理规则。
 
  • 上网使用管理:规范上网之使用需经过申请,且禁止浏览与游戏、购物、音频、赌博、社群网站、违法或暴力、广告、成人资讯、免费网路资源、以争议与来源不明之网站和特别列管之网站等非公务性质网站。
 
  • 远端存取管理:规范公司员工若因出差或其他公务需要由异地经外部网路连回公司使用内部服务,需透过VPN以确保安全。VPN使用权限须经过申请并搭配个人行动装置使用OTP双因认证,且资讯部会每半年不定期的检视VPN使用情况,针对超过6个月以上未登入之帐号经确认后关闭其权限。
 
  • 资讯机房管理:规范资讯机房应设置门禁管制、针对未具资讯机房进出权限人员之控管要求,以及对机房温湿度、UPS不断电系统、机房环境与设备运作状态检查等日常管理作业,并有机房环控系统监控与记录环境与设备状态,自动发送异常告警通知管理员进行即时处置。
 
  • 资讯安全会议:每月召开资讯安全会议,核实与检讨资安政策与资讯管理方案之落实状况。

本公司之新进人员于入职时会进行基本的资讯安全教育训练。另对于在职的人员亦会须透过公司内部入口网站或邮件不定期的进行资讯安全的宣导,宣导包含邮件使用安全、上网使用安全、与远端安全作业等。