SDG集团网络安全管理办法(SDG-007)
1. 目的
为维护 SDG 集团整体信息环境之安全性、完整性与可用性,确保内外部网络及信息系统能稳定且可靠地运作,并强化身分验证、存取控管与外部联机之安全防护,特订定本办法。
2. 适用范围
3. 角色与职责
3.1 集团信息中心(G-IT)
4.1 安全联机规范
4.1.1 内部联机存取
4.2.1 账号申请与停用
4.3.1 允许联机设备
4.4.1 数据存取管理
4.5.1 训练要求
本办法经SDG集团会议核定后实施,如需增修,依同程序办理。
为维护 SDG 集团整体信息环境之安全性、完整性与可用性,确保内外部网络及信息系统能稳定且可靠地运作,并强化身分验证、存取控管与外部联机之安全防护,特订定本办法。
2. 适用范围
| 2.1 | 适用对象:SDG 集团总部、各子公司、投资事业、海外据点及经授权之合作人员。 |
| 2.2 | 适用范围:集团内所有信息系统、服务器、网络设备、VPN、云端平台与其他相关硬件、软件及数据资产。 |
3. 角色与职责
3.1 集团信息中心(G-IT)
- 建置并维护集团统一之信息安全政策、身分认证与 VPN 架构。
- 负责集团服务器、网络及信息安全设备之设定与维运。
- 执行安全稽核与异常事件之通报与处理。
- 依据集团政策执行在地账号与权限管理作业。
- 进行 VPN 使用者审核、设定及相关设备维护。
- 处理异常通报与资安事件持续追踪。
- 妥善保护个人账号与密码,不得外借、共享或冒名使用。
- 依规范正确使用 VPN、公司设备及信息资产。
- 若发现异常登入、设备遗失或疑似资安事件,应立即通报。
4.1 安全联机规范
4.1.1 内部联机存取
- 联机对象:位于集团据点内、需存取内部系统或服务器之员工与授权人员。
- 联机方式:透过内部网络或据点间之 Site-to-Site VPN 取得信息资源。
- 联机对象:居家上班、出差等有存取内部系统需求之人员,始得提出申请并经核准后使用。
- 联机内容:举凡ERP、集团ERP、财会系统等未对外公开网站及系统。
- 联机方式:必须使用 SSL VPN 进行安全联机。
- 禁止使用公共计算机、公共或未加密 Wi-Fi 进行 VPN 联机。
- 禁止使用未授权之 Proxy、VPN 工具或其他匿名联机技术。
4.2.1 账号申请与停用
- 新进人员:HR 通知 L-IT 依部门职务开立账号及初始权限。
- 转职/调动:由部门主管申请,权限异动须经签核并保留纪录。
- 离职人员:HR 于当日或事前通知 L-IT 立即停用账号及 VPN 权限。
- 账号限本人使用,不得外借或以他人身分登入。
- 不得将密码张贴于计算机、书面或任何容易取得之处。
- 密码至少 8 码,需含大小写字母、数字与特殊符号(四选三,例 ABCabc123-/:)。
- 每 90 天须强制更换密码。
4.3.1 允许联机设备
- 仅限公司核可、并具备完成防毒、防火墙与系统更新之设备。
- 使用个人自备计算机需接受信息单位安全查检,并完成申请程序。
- 禁止安装未授权软件或破解工具。
4.4.1 数据存取管理
- 针对财务报表、技术文件等机密数据加注水印(如集团ERP、WEBISO、观测站)。
- 未经授权严禁将公司内部数据传送至私人云端、电子邮件或可携式媒体(USB...)。
- 违规行为依公司规章处置,必要时移交法律单位。
- 机敏数据须依数据分级政策保存或报废,确保不留任何泄漏风险。
- 用户应定期清理不必要数据、旧文件与暂存信息,以降低数据外泄及资安风险。
4.5.1 训练要求
- 新进人员须完成资安教育训练。
- 每年至少执行一次资安倡导。
- 资安概念、钓鱼邮件辨识、账号密码管理等主题。
本办法经SDG集团会议核定后实施,如需增修,依同程序办理。
发布日期2025/12/9