# 資訊安全管理政策 1. 目的\ \ 為強化資訊安全管理、確保資訊的機密性、完整性與可用性,免於因外在之威脅或內部人員不當之管理與使用,防止資訊被竊取、竄改、毀損、滅失、洩漏、不法利用或其他侵害等風險。特制訂資訊安全管理政策(以下簡稱本政策),以作為本公司資訊安全管理最高指導方針。
2. 範圍\ \ 本政策適用範圍為『鏈科股份有限公司』(公司英文縮寫為XREX,以下簡稱本公司)管轄之資訊資產及使用資訊資產之相關人員,內容如下: \ 2.1 本規範適用於本公司所有員工、協力廠商、外包人力及其他可接觸公司資訊者;包括公司所有之硬體設備、軟體系統、終端設備、資料文件及相關實體環境,亦涵蓋因法律法規要求而須負責管理之資訊資產。\ \ 2.2 本公司海外單位若當地法令有特殊規範者,得另訂相關管理辦法。\ \ 2.3 本政策相關紀錄及文件至少保存五年,法令另有規定者,從其規定。
3. 定義及說明\ \ 本規範定義的詞彙如下:\ \ 3.1 資通系統:係指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。\ \ 3.2 網路設備:用於傳輸資料與提供服務所需設備,如防火牆、路由器、交換器等。\ \ 3.3 核心系統:係指直接提供客戶虛擬資產服務或支持虛擬資產業務持續運作之必要系統。\ \ 3.4 行動裝置:可攜式且具資料處理及網路連線功能之設備,且用於處理敏感事務並直接連接公司網路或服務之裝置。\ \ 3.5 物聯網設備:具網路連線功能之嵌入式系統設備及其周邊連網裝置。\ \ 3.6 資通服務:基於資通系統提供的資訊蒐集、傳輸、儲存、處理或分享等相關服務。\ \ 3.7 存取:指對資訊資產之取得、使用、保管、查詢、修改、調整、銷毀等行為。\ \ 3.8 深度偽造(Deepfake):使用電腦合成或科技方法製作涉及真實人物但實際未發生之影像、錄音或行為等內容之技術。
4. 資訊安全管理政策\ \ 本公司依據相關法令及業務需求,考量資訊性質及系統規模,建立資訊安全管理政策,並經管理階層核准後正式公告於公司官網,要求所有員工遵守。具體規範如下:\ \ 4.1 資訊安全管理與實施\ \ 4.1.1 依據相關法令規定及公司業務需求,考量所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,建立適當之資訊安全管理程序。\ \ 4.1.2 定期審查,以反映法令規章、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。\ \ 4.2 資訊存取與使用規範\ \ 4.2.1 所有本公司、協力廠商及接觸本公司資訊者,均有責任保護資訊資產,防止未經授權的存取、變更或洩露。\ \ 4.2.2 存取、使用、複製或刪除資訊資產時,應依內部存取控制規範辦理,確保資訊安全與合規性。\ \ 4.3 資訊安全管理系統與驗證\ 本公司應依事業規模與性質,導入符合國際資訊安全管理制度標準(如ISO 27001),並通過公正第三方之驗證,確保資訊安全防護能力。
5. 資訊安全之組織管理與分工\ \ 為確保資訊安全管理之有效執行,本公司應建立明確的資訊安全管理架構,並制定相關規範,以確保組織內資訊資產的安全性與完整性。為強化資訊安全管理,制定以下規範:\ \ 5.1 安全組織設置與人員配置\ \ 5.1.1 資訊安全管理架構\ 應建立資訊安全管理架構,並明確劃分資訊處理部門與業務單位之職責,以確保管理權責清晰。\ \ 5.1.2 人員配置與專業能力\ 配置適當人力及設備,如有不足,可委請外界學者專家或專業機構提供顧問諮詢服務,以提升資訊安全管理水準。\ \ 5.1.3 資訊安全人員應每年召開資訊安全管理審查會議對現有資訊安全管理依實際狀況調整。
6. 資訊資產管理與風險評鑑\ \ 6.1 風險評鑑與管理\ 本公司應依據業務需求,針對所保有或處理之資訊資產,考量其種類、數量、性質及資通系統之規模與特性,進行資訊資產盤點並執行風險鑑別與管理,並訂定相關規範,以確保資訊資產的安全性與完整性。\ \ 6.2 資產分類與控制\ \ 6.2.1 各類資訊資產之異動應由資訊資產保管者向資訊資產權責單位主管申請核准。\ \ 6.2.2 資訊資產權責單位應對資料類型之資訊資產其敏感程度,並依其敏感程度訂定資料保護措施並執行。\ \ 6.2.3 應對資訊資產之資料與文件的保存期限進行規範,並於保存期限到期後進行刪除與銷毀。
7. 人員安全管理及教育訓練\ \ 為確保本公司員工能確實遵守資訊安全要求,減少因人員惡意、疏忽或對資訊安全認知不足所引發之資訊安全事件,因遵循以下程序:\ \ 7.1 保密責任\ 員工應依法令及公司規定負有機密資訊保護之義務,於任職時應簽署「保密切結書」,以確認並明定其保密責任。\ \ 7.2 人員異動權限管理\ 員工於離職、調職或職務異動時,各單位應依人資部門通知,即時調整或取消該員工之資訊資產存取及使用權限,以防止資訊安全風險。\ \ 7.3 資訊安全教育與宣導\ \ 7.3.1 公司應定期對全體員工辦理資訊安全宣導講習,課程內容應涵蓋資訊安全政策、相關法令規定、資安作業程序及資訊設備正確使用方法,並保存訓練紀錄。\ \ 7.3.2 員工每年至少應依職務層級接受適當之資訊安全與個人資料保護教育訓練:\ \ 7.3.3 資訊安全專責人員:每年接受至少15小時之資安專業或職能訓練,並通過評量。\ \ 7.3.4 一般使用資訊系統之員工:每年參加至少1小時資訊安全宣導課程。\ \ 7.4 重要資訊處理人員管理\ 重要資訊處理人員除簽署保密協議外,公司應定期(至少每年一次)審查保密協議之內容,並依情況確認是否需重新簽署。
8. 實體及環境安全\ \ 為確保本公司資訊設備及網路管理設備的安全,降低環境風險與未經授權存取之影響,訂定以下管理規範:\ \ 8.1 設備與資訊設施保護\ \ 8.1.1 設備應安置於適當地點,並採取防護措施,以減少環境因素(如火災、斷電、震災)造成的影響,並定期檢視其適用性。\ \ 8.1.2 設備應定期維護,以確保其完整性與可用性,並完整記錄維護狀況工作日誌。\ \ 8.2 環境與網路管理設備安全\ \ 管制區域應設有適當的進出控管措施並配備監控錄影設備,確保僅授權人員得以進入,並應記錄進出紀錄,以備查核。\ \ 8.3 可攜式設備管理\ \ 8.3.1 可攜式設備之配發應經權責主管核准,並記錄保管人資訊。\ \ 8.3.2 建立遺失通報機制,確保可攜式設備遺失時能立即回報,並採取必要的風險控制措施。\ \ 8.4 設備報廢與資訊銷毀\ 儲存機密性及敏感性資料的資訊媒體,當不再使用時,應以安全抹除或其他合宜之報廢方式處理,確保所有機密資訊與軟體均已被移除或安全銷毀。
9. 網路安全\ \ 為確保本公司網路系統及資料傳輸之安全性,有效防範未經授權之存取或其他資安事件發生,維護業務運作穩定並保障資訊資產安全,應至少落實以下管理措施:\ \ 9.1 網路系統安全管理\ \ 9.1.1 定期評估公司網路系統安全,並妥善留存相關紀錄。\ \ 9.1.2 定期或視需要修補網路環境及作業系統之安全漏洞,並保存完整修補記錄。\ \ 9.1.3 各電腦主機、重要軟硬體設備應指定專人管理。\ \ 9.1.4 租用公有雲端服務時,應評估服務供應商對多重租戶之網路區隔管理機制,確認符合本公司作業需求。\ \ 9.1.5 電腦網路安全相關資訊(如資安政策宣導、防範駭客入侵及病毒防護措施)應隨時於內部公告。\ \ 9.2 網路連線管理\ \ 9.2.1 應具備適當網路區隔機制,制定網路存取控制列表,定期檢視防火牆規則或存取控制清單,並妥善留存維護紀錄,由權責主管定期覆核。\ \ 9.2.2 應訂定遠端連線管理辦法,落實必要之防護措施,並保存相關紀錄。\ \ 9.3 網路設備安全管理\ \ 9.3.1 應設置防火牆系統,由網路管理人員負責控管,並定期檢視防火牆規則之適當性。\ \ 9.3.2 防火牆設定應經權責主管核准,並妥善保留相關核准紀錄備查。\ \ 9.3.3 定期檢視防火牆存取控制設定,並留存檢視紀錄。\ \ 9.3.4 定期檢視對外網路設備之相關規則,並留存相關紀錄。\ \ 9.4 網路傳輸管理\ \ 9.4.1 本公司提供網路下單服務時,登入系統應採取多因子認證方式(MFA),以確保登入者確實為客戶本人。\ \ 9.4.2 員工及相關其他非我司之人員透過網路傳送本公司機密資訊時,須採用安全加密措施(如VPN、TLS/SSL),確保資料在傳輸過程之完整性及機密性。
10. 系統存取控制\ \ 本公司應依業務規模與性質建置穩定且安全的資訊系統,並制定存取控制規範,以確保資訊資產的安全性與合規性。所有存取控制規範應以書面、電子或其他方式通知員工,並落實執行。\ \ 10.1 帳號管理與存取權限\ \ 10.1.1 訂定帳號申請、建立、修改、停用或刪除之標準作業程序。\ \ 10.1.2 定期審查核心系統帳號及權限之適切性,並視審查結果停用閒置帳號。\ \ 10.1.3 定義人員角色及責任,授權應採最小權限原則,僅允許使用者(或代表使用者行為之程序)依公司部門權責及業務功能,完成作業所需之授權存取,且授權及審查記錄應留存。\ \ 10.2 密碼管理\ \ 10.2.1 使用者密碼於首次使用後應進行更改,使用者更改之密碼應符合密碼原則,系統預設之初始密碼應被停用或刪除。如初次設定密碼為使用者自行設置者,則不在此限。\ \ 10.2.2 密碼變更時,系統應驗證使用者身份,以防止未經授權的變更行為。\ \ 10.2.3 系統於有帳號登入異常情事時應通知相關權責單位,相關權責單位應了解異常原因,並留存處理紀錄。
11. 應用系統維護管理安全\ \ 本公司資訊系統開發與維護應確保資訊安全,並建立適當的管理機制,以降低安全風險並確保系統穩定運行。\ \ 11.1 安全需求納入系統規劃與開發\ \ 11.1.1 需求分析階段 應將資訊安全需求納入規劃,確保系統功能符合安全要求。\ \ 11.1.2 開發需求可行性評估:系統開發人員應對經核准的開發需求進行可行性評估,並確認符合公司資訊安全制度。\ \ 11.2 系統開發與維護的安全控制\ \ 應制定程式原始碼安全相關管理程序,確保軟體開發符合安全編碼標準,並進行程式碼審查以降低漏洞風險。\ \ 11.3 弱點管理與系統維護\ \ 應定期辦理資訊系統弱點掃描,並針對所辨識出之潛在系統弱點進行風險評估,必要時安裝修補程式並留存紀錄。
12. 業務持續營運管理\ \ 為避免因人為或天然災害導致資訊業務運作受影響,須針對系統制定適當之營運持續計畫,並由相關負責人落實執行,至少包含以下程序:\ \ 12.1 故障復原與備援機制\ \ 應明確訂定核心系統備援與回復計畫,並落實執行且留存紀錄,包含但不限於以下情境:\ \ 12.1.1 核心系統程式原始碼與資料備份之執行程序。\ \ 12.1.2 核心系統從中斷後至重新恢復服務之可容忍時間要求。\ \ 12.1.3 核心系統原服務中斷後之備援回復程序。\ \ 12.1.4 針對重大資訊系統異常事件或天然災害之應變、備援及回復程序。\ \ 12.2 應評估核心系統異常中斷後至恢復運作的可容忍時間(RTO)及允許的資料遺失範圍(RPO),並準備適當及足夠的備援設施,定期執行必要的資料及軟體備份與備援作業,以便發生災害或是儲存媒體失效時,可適時回復正常作業。\ \ 12.3 定期測試與演練\ \ 12.3.1 應定期測試與演練營運持續性機制,以確保計畫有效性,並留存測試紀錄。\ \ 12.3.2 測試完成後應評估計劃適切性,針對發現的缺失進行改善,確保與資訊安全持續目標一致。\ \ 12.4 應訂定資通安全事件內部通報機制,包含正式之通報程序及資通安全事件通報聯絡人。\ \ 12.5 營運持續計畫應由相關業務單位共同制定與執行,資訊安全管理單位負責提供資安風險評估與技術支持,確保資訊系統具備足夠的備援能力,並能迅速回復正常運作。\ \ 12.6 若發生影響客戶權益或營運的異常事件,應由相關權責單位依應變計畫協同處理,資訊安全管理單位則負責提供資安應變指導與技術協助,並定期檢討計畫的適用性。
13. 資訊作業事故之反應及處理\ \ 13.1 遵循本公司處理資訊作業事故之作業程序,並賦予相關人員責任,以便迅速有效處理本公司資訊作業事故。\ \ 13.2 如發現或懷疑有資訊安全類之事故時,應依訂定的通報管道,迅速通報權責主管及窗口立即處理。\ \ 13.3 異常事件應變措施,發生影響客戶權益或營運的資訊安全事件時,應採取適當應變程序,並留存紀錄。
14. 供應商作業管理\ \ 本公司針對供應商的遴選、管理與監督,應建立適當的管理機制,以確保委外資訊系統或服務符合資訊安全與業務需求。管理機制應包含以下要點:\ \ 14.1 供應商遴選與合約管理\ \ 14.1.1 與委外資訊服務供應商提供服務應訂定合約,合約所含內容應包含以下內容:合約期限、服務範圍、服務交付日期、服務水準要求、服務變更規範、服務驗收之標準、資通安全事件通報及應變處理作業程序、對資訊服務供應商之稽核權條款、合約轉讓或同意分包之規範、保密義務條款、罰則與損害賠償條款、爭議處理程序、違約處理條款、合約終止規範、合約終止後之處理、保固、權利及責任。\ \ 14.2 委外作業系統安全檢查及管理\ \ 14.2.1 供應商應提供適當安全性檢測報告(如程式資安檢測、原始碼檢測、弱點掃描),確保所交付之系統或服務未含惡意程式或後門程式。\ \ 14.2.2 放置於本公司雲端之資訊系統須通過程式碼掃描或黑箱測試方得上線。\ \ 14.2.3 應確保供應商僅能存取必要系統。\ \ 14.3 委外終止之管理\ \ 供應商合約終止、解除或委外專案完成時,須撤銷供應商之系統存取權限,並確認供應商已歸還或銷毀所有本公司之機密資訊及相關設備。\ \ 14.4 替代方案及補強措施規劃\ \ 如無法符合前項要求,應採取適當評估,並依風險規劃替代措施,以確保會員對委外資訊服務供應商之最終監督義務之執行。
15. 新興科技應用\ \ 15.1 雲端運算服務\ \ 本公司依資訊安全要求,評估使用雲端運算服務之風險,若雲端運算服務涉及核心系統、資料或服務者,將訂定雲端運算服務相關運作安全規範,其內容包含下\ \ 15.1.1 為雲端服務使用者時,訂定風險評估與供應商管理,包含但不限於以下管理措施:\ \ (1) 對供應商進行資訊安全檢核,確保其符合服務水準協議(Cloud SLA)與資安要求。\ \ (2) 備援與復原:針對關鍵系統與資料,應訂定備援計畫,確保雲端服務中斷時能迅速恢復運作。\ \ (3) 如有不符需求之處,需有其它補償性措施。\ \ 15.1.2 雲端服務安全控管\ \ 若本公司為雲端服務提供者,應確保法律遵循、權限控管、權責歸屬及資訊安全防護,涉及敏感資訊時,應採用加密傳輸協定,確保數據安全。\ \ 15.1.3 雲端服務退出與資料銷毀\ \ (1) 資料處置方式可包含刪除、移轉至本公司系統、或轉移至其他雲端服務。\ \ (2) 服務終止時,應確保雲端供應商刪除所有存留資料,並留存銷毀紀錄,避免資安風險。前述資料包括但不限於客戶之個人資料、電子資料、應用程式及備份資料等。\ \ 15.2 行動裝置與自攜設備(BYOD)管理\ \ 15.2.1 本公司依據各內部業務單位的性質,制定公務用行動裝置的申請、使用、更新、繳回與審核等資訊安全管理程序。本管理程序涵蓋行動裝置儲存機密資料的限制及管理方式,以確保資訊安全。\ \ 15.2.2 除經公司核准之應用程式外,同仁不得使用個人自攜行動裝置(BYOD)處理公司業務。此外,針對自攜行動裝置的使用,公司規範應包含以下內容:裝置使用用途、內部裝置私接網際網路的限制,以及行動裝置儲存機密資料的管理與限制方式等。\ \ 15.3 物聯網(IoT)設備安全管理\ \ 本公司應制定物聯網相關資訊安全規範與管理辦法,至少應包含下列項目:\ \ 15.3.1 應建立物聯網設備管理清冊,並至少每年更新一次。\ \ 15.3.2 物聯網設備應具備安全性更新機制且定期更新;如設備存在已知弱點且無法更新時,應建立補償性管控機制。\ \ 15.3.3 應關閉物聯網設備之不必要網路連線及服務,避免使用對外公開之網際網路位置。\ \ 15.3.4 採購物聯網設備時,宜優先採購取得資安標章之物聯網設備。\ \ 15.3.5 定期對物聯網設備使用及管理人員辦理資安教育訓練。\ \ 15.3.6 應建立物聯網設備存取權限之控管措施,如使用影像視訊方式進行身分驗證時,應強化驗證並搭配其他驗證因子(如上傳身分證件、手機簡訊 OTP)。
16. 遵循性\ \ 16.1 應識別、記錄並定期更新所有適用的法律、法規及契約要求,確保組織與資訊系統的合規性。\ \ 16.2 應遵循智慧財產權、專屬軟體使用及密碼控管相關法規與協議。\ \ 16.3 應依法保護紀錄與個人可識別資訊,防止遺失、毀損、偽造、未授權存取或發布。\ \ 16.4 應定期審查安全政策、標準及作業程序,確保其符合適用規範與要求。
17. 實施與修正\ \ 17.1 本政策未盡事宜,悉依法令、內部控制制度、同業公會自律規範及本公司相關規定辦理。\ \ 17.2 本政策經董事會通過後實施;修正時,亦同。