資訊安全管理架構
新普科技之高階主管會定期關注資訊安全議題,且資訊安全權責單位為資訊部,負責規劃資訊安全相關規範並落實,資訊部主管會定期參與企業內部資訊 安全相關會議,並定期關注資訊安全相關議題;此外稽核室為資訊安全監理之查核單位,每年會就內部控制制度―電子計算機循環,進行資訊安全查核,藉以評估公司資訊作業內部控制之有效性。
資訊安全政策
為保護公司所屬資訊資產免於受到遭受蓄意或意外之破壞,並確保企業永續經營,制定本資訊安全政策,以確認本公司重要資訊資產之安全,包含:
![]() |
資訊安全具體管理方案
新普科技資訊部制定資訊系統管理程序,其適用範圍為使用公司電腦資訊系統與企業網路資源均適用之,希望藉由此程序之制定與同仁對制度的落實來確保公司資訊資料之正確性及安全性,提供管理資訊並協助各單位資料之處理,管理程序主要控管內容包含下列事項 :
- 電腦系統資源之使用與取消:規範同仁在工作上所需使用之電腦系統資源的使用控管要求,包含PC/NB的使用申請、電腦軟體安裝、公務NB攜出廠外之上網功能控管以及離職人員之電腦資源使用權及帳號之取消等。
- 資料備份與災害復原:規範資訊資料備份作業之控管要求,依照定義好之備份週期,於備份軟體設定之排程,將伺服器資料檔案及資料庫資料備份至磁帶或異地硬碟櫃。備份軟體備份工作成功或失敗會發出通知Email,管理人員需即時處理與解決備份異常,確保備份正確完成。當災害發生時需進行資料復原作業,並訂定相關單位之權責以及要求管理人員需定期(每半年且不定時)實施災害復原測試。
- 電腦病毒管理:規範公司針對電腦病毒之防範作法,包含所屬之電腦皆須安裝公司授權之防毒軟體並定期更新病毒碼、需透過Windows Update伺服器定期進行系統與安全性更新、透過Proxy和防火牆控管Internet行為。
- 電子郵件管理:規範電子郵件之使用規則,包含收件人數管理、電子郵件單封容量大小、私人Email收發管理和外部收發公司郵件等管理規則。
- 上網使用管理:規範上網之使用需經過申請,且禁止瀏覽與遊戲、購物、音頻、賭博、社群網站、違法或暴力、廣告、成人資訊、免費網路資源、以爭議與來源不明之網站和特別列管之網站等非公務性質網站。
- 遠端存取管理:規範公司員工若因出差或其他公務需要由異地經外部網路連回公司使用內部服務,需透過VPN以確保安全。VPN使用權限須經過申請並搭配個人行動裝置使用OTP雙因認證,且資訊部會每半年不定期的檢視VPN使用情況,針對超過6個月以上未登入之帳號經確認後關閉其權限。
- 資訊機房管理:規範資訊機房應設置門禁管制、針對未具資訊機房進出權限人員之控管要求,以及對機房溫溼度、UPS不斷電系統、機房環境與設備運作狀態檢查等日常管理作業,並有機房環控系統監控與記錄環境與設備狀態,自動發送異常告警通知管理員進行即時處置。
- 資訊安全會議:每月召開資訊安全會議,核實與檢討資安政策與資訊管理方案之落實狀況。
本公司之新進人員於入職時會進行基本的資訊安全教育訓練。另對於在職的人員亦會須透過公司內部入口網站或郵件不定期的進行資訊安全的宣導,宣導包含郵件使用安全、上網使用安全、與遠端安全作業等。