資訊安全政策
願景
成為集團內具有商業整合能力的合作夥伴與實現業務目標的關鍵推動者之一。
目的
沛波鋼鐵股份有限公司(以下簡稱本公司)為強化資訊安全管理,確保所屬之資訊與資訊資產的機密性、完整性及可用性,以提供本公司之資訊業務持續運作之資訊環境,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,特制定此政策規範。
範圍
資訊安全管理涵蓋14項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害。管理事項如下:
• 資訊安全政策訂定與評估。
• 資訊安全組織。
• 人力資源安全。
• 資產管理。
• 存取控制安全。
• 密碼安全。
• 實體與環境安全。
• 作業安全。
• 通訊安全。
• 系統獲取、開發與維護之安全。
• 供應者關係管理。
• 資訊安全事件之反應及處理。
• 營運持續運作管理。
• 相關法規與施行單位政策之符合性。
目標
在配合本公司資訊安全政策要求,考量適用之資訊安全要求事項,以及風險評鑑與風險處理之結果後制訂下列資訊安全目標:
• 保護本公司關鍵業務資訊,避免未經授權的存取。
• 維持核心資訊系統持續運作確保本公司具備可供業務持續運作之資訊環境。
• 辦理資訊安全教育訓練,推廣人員資訊安全之意識與強化其對相關責任之認知。
管理架構
本公司於管理部下設置資訊課,並由資訊課推動資訊安全政策及具體管理方案,目前本公司將資訊安全委由專業團隊『鼎新電腦股份有限公司』協助執行,項目包含:購置防火牆、個人電腦防毒、伺服器主機防毒、系統資料庫備份NAS、定期硬體設備維護、災難還原演練服務等。
資訊安全控制措施:
1.定期盤點資訊資產清單,落實各項管控措施。
2.公司定期執行資訊安全宣導作業,新進人員皆須簽定涵蓋資訊安全相關之保密協定。
3.本公司所有員工、委外廠商暨其協力廠商執行相關資訊業務者,有責任及義務保護其所取得或使用本公司之資訊資產,以防止遭未經授權存取、擅改、破壞或不當揭露。
4.重要資訊系統或設備應建置適當之備援或監控機制並定期演練,維持其可用性。
5.個人電腦應安裝防毒軟體且定期確認病毒碼之更新,並禁止使用未經授權軟體。
6.同仁帳號、密碼與權限應善盡保管與使用責任並定期換置。
7.制定資訊安全事件的回應及通報標準程序,以適當對資訊安全事件做即時處理,避免傷害擴大。
8.全體人員應遵守法律規範與資訊安全政策要求,主管人員應督導資安遵行制度落實情況,強化同仁資安認知及法令觀念。
持續營運演練執行計畫
為確保有效掌握公司關鍵營運系統或活動遭受破壞、不當使用等危害資通安全之重大事故時,能迅速進行災害復原處置,並在最短時間內回復,以確保核心業務之持續運作,公司由『鼎新電腦股份有限公司』協同進行『持續營運演練執行計畫』。
持續營運演練為公司IT維運重要之風險控制動作,使公司可因應任何形式災難,目的於證明公司已實施持續營運演練力求盡到良善IT管理人責任,執行過程內部資訊同仁業已充分配合學習因應技能,進而期降低發生各式災難之風險與衝擊,為有效確保持續營運控制措施之有效,本公司定期演練之。
本公司於109年1月16日由資訊人員、鼎新資深系統工程師、鼎新持續營運顧問,共同完成『公司持續營運演練』,並於109年2月5日取得『鼎新電腦股份有限公司』提供之『持續營運演練執行報告』。
持續營運演練劇情,考量公司資訊環境與特性,過往經驗及相關內外部議題等因素,擬列以下風險,作為演練劇情擬定:
• 儲存空間毀損資料遺失 硬碟磁區毀損,導致資料毀損。
• 實體機器硬體故障 硬體故障,導致服務無法使用。
• 系統與資料庫中毒
• 系統磁區異常
• 電力中斷
• 網路中斷
110年度委外之『鼎新電腦股份有限公司』資訊安全執行情形:
- 全台各區個人電腦維護:2次
- 全台各區防火牆維護:2次
- 全台各區網路產品:2次
- 總部虛擬化實體主機維護:2次
- 一般Server維護:2次
- 其他資訊相關維護作業:2次
- 加強員工對於資訊安全風險之應變與警覺性教育宣導:2次,共54人