資訊安全管理架構
新普科技之高階主管會定期關注資訊安全議題,且資訊安全權責單位為資訊部,負責規劃資訊安全相關規範並落實,資訊部主管會定期參與企業內部資訊安全相關會議,並定期關注資訊安全相關議題;此外稽核室為資訊安全監理之查核單位,每年會就內部控制制度―電子計算機循環,進行資訊安全查核,藉以評估公司資訊作業內部控制之有效性並定期向董事會報告。本公司於2023年依主管機關要求配置一名資訊安全專責主管及一名資訊安全專責人員。
資訊安全政策
為保護公司所屬資訊資產免於受到遭受蓄意或意外之破壞,並確保企業永續經營,制定本資訊安全政策,以確認本公司重要資訊資產之安全,包含:
|
資訊安全具體管理方案
新普科技資訊部制定資訊系統管理程序,其適用範圍為使用公司電腦資訊系統與企業網路資源均適用之,希望藉由此程序之制定與同仁對制度的落實來確保公司資訊資料之正確性及安全性,提供管理資訊並協助各單位資料之處理,管理程序主要控管內容包含下列事項 :
- 電腦系統資源之使用與取消:規範同仁在工作上所需使用之電腦系統資源的使用控管要求,包含PC/NB的使用申請、電腦軟體安裝、公務NB攜出廠外之上網功能控管以及離職人員之電腦資源使用權及帳號之取消等。
- 資料備份與災害復原:規範資訊資料備份作業之控管要求,依照定義好之備份週期,於備份軟體設定之排程,將伺服器資料檔案及資料庫資料備份至磁帶或異地硬碟櫃。備份軟體備份工作成功或失敗會發出通知Email,管理人員需即時處理與解決備份異常,確保備份正確完成。當災害發生時需進行資料復原作業,並訂定相關單位之權責以及要求管理人員需定期(每半年且不定時)實施災害復原測試。
- 電腦病毒管理:規範公司針對電腦病毒之防範作法,包含所屬之電腦皆須安裝公司授權之防毒軟體並定期更新病毒碼、需透過Windows Update伺服器定期進行系統與安全性更新、透過Proxy和防火牆控管Internet行為。
- 電子郵件管理:規範電子郵件之使用規則,包含收件人數管理、電子郵件單封容量大小、私人Email收發管理和外部收發公司郵件等管理規則。
- 上網使用管理:規範上網之使用需經過申請,且禁止瀏覽與遊戲、購物、音頻、賭博、社群網站、違法或暴力、廣告、成人資訊、免費網路資源、以爭議與來源不明之網站和特別列管之網站等非公務性質網站。
- 遠端存取管理:規範公司員工若因出差或其他公務需要由異地經外部網路連回公司使用內部服務,需透過VPN以確保安全。VPN使用權限須經過申請並搭配個人行動裝置使用OTP雙因認證,且資訊部會每半年不定期的檢視VPN使用情況,針對超過6個月以上未登入之帳號經確認後關閉其權限。
- 資訊機房管理:規範資訊機房應設置門禁管制、針對未具資訊機房進出權限人員之控管要求,以及對機房溫溼度、UPS不斷電系統、機房環境與設備運作狀態檢查等日常管理作業,並有機房環控系統監控與記錄環境與設備狀態,自動發送異常告警通知管理員進行即時處置。
- 資訊安全會議:每月召開資訊安全會議,核實與檢討資安政策與資訊管理方案之落實狀況。
本公司之新進人員於入職時會進行基本的資訊安全教育訓練。另對於在職的人員亦會須透過公司內部入口網站或郵件不定期的進行資訊安全的宣導,宣導包含郵件使用安全、上網使用安全、與遠端安全作業等。
通過ISO 27001資訊安全管理系統國際驗證
新普科技為提升資訊安全防護及強化系統作業能力,長期以來依據資安政策進行管理,降低資訊安全事件所帶來之衝擊,為因應快速發展多元資訊系統,公司於2023年導入ISO 27001資訊安全管理系統,日前已通過 ISO 國際標準之認證(SGS),有效期間為2023年12月9日至2026年12月9日,代表新普在資訊安全管理的強度與國際接軌,以保障公司與客戶之權益。
本次驗證的範圍包含新普科技之資訊服務基礎建設及資訊管理作業流程,此次驗證,不僅資安防護再升級,更顯新普集團在資訊安全管理更上層樓,我們深知後續仍需落實運作執行,才是確保資訊安全的根本工作。
註: ISO/IEC 27001 資訊安全管理系統(Information Security Management System, ISMS)是一套國際通用的資訊安全管理工具和制度,明確規範包括資訊安全管理、強化資安防護、保護資訊資產等建置標準,為目前國際上最廣泛採用之資訊安全管理制度標準規範。