1. 目的
為維護 SDG 集團整體資訊環境之安全性、完整性與可用性，確保內外部網路及資訊系統能穩定且可靠地運作，並強化身分驗證、存取控管與外部連線之安全防護，特訂定本辦法。

2. 適用範圍

2.1	適用對象：SDG 集團總部、各子公司、投資事業、海外據點及經授權之合作人員。
2.2	適用範圍：集團內所有資訊系統、伺服器、網路設備、VPN、雲端平台與其他相關硬體、軟體及資料資產。

3. 角色與職責
3.1 集團資訊中心（G-IT）

• 建置並維護集團統一之資訊安全政策、身分認證與 VPN 架構。
• 負責集團伺服器、網路及資訊安全設備之設定與維運。
• 執行安全稽核與異常事件之通報與處理。

3.2 各子公司資訊單位（L-IT）

• 依據集團政策執行在地帳號與權限管理作業。
• 進行 VPN 使用者審核、設定及相關設備維護。
• 處理異常通報與資安事件持續追蹤。

3.3 使用者（員工／授權人員）

• 妥善保護個人帳號與密碼，不得外借、共用或冒名使用。
• 依規範正確使用 VPN、公司設備及資訊資產。
• 若發現異常登入、設備遺失或疑似資安事件，應立即通報。

4. 網路與存取安全控制要求
4.1 安全連線規範
  4.1.1 內部連線存取

• 連線對象：位於集團據點內、需存取內部系統或伺服器之員工與授權人員。
• 連線方式：透過內部網路或據點間之 Site-to-Site VPN 取得資訊資源。

  4.1.2 外部連線存取

• 連線對象：居家上班、出差等有存取內部系統需求之人員，始得提出申請並經核准後使用。
• 連線內容：舉凡ERP、集團ERP、財會系統等未對外公開網站及系統。
• 連線方式：必須使用 SSL VPN 進行安全連線。

  4.1.3 使用限制

• 禁止使用公共電腦、公共或未加密 Wi-Fi 進行 VPN 連線。
• 禁止使用未授權之 Proxy、VPN 工具或其他匿名連線技術。

4.2 帳號管理
  4.2.1 帳號申請與停用

• 新進人員：HR 通知 L-IT 依部門職務開立帳號及初始權限。
• 轉職／調動：由部門主管申請，權限異動須經簽核並保留紀錄。
• 離職人員：HR 於當日或事前通知 L-IT 立即停用帳號及 VPN 權限。

  4.2.2 帳號使用規範

• 帳號限本人使用，不得外借或以他人身分登入。
• 不得將密碼張貼於電腦、書面或任何容易取得之處。

  4.2.3 密碼管理

• 密碼至少 8 碼，需含大小寫字母、數字與特殊符號（四選三）。
• 每 90 天須強制更換密碼。

4.3. 設備管理
  4.3.1 允許連線設備

• 僅限公司核可、並具備完成防毒、防火牆與系統更新之設備。
• 使用個人自備電腦需接受資訊單位安全查檢，並完成申請程序。

  4.3.2 禁止事項

• 禁止安裝未授權軟體或破解工具。

4.4. 文件與資料安全管理
  4.4.1 資料存取管理

• 針對財務報表、技術文件等機密資料加註浮水印(如集團ERP、WEBISO、觀測站)。

  4.4.2 文件外流防護

• 未經授權嚴禁將公司內部資料傳送至私人雲端、電子郵件或可攜式媒體(USB...)。
• 違規行為依公司規章處置，必要時移交法律單位。

  4.4.3 資料保存與銷毀

• 機敏資料須依資料分級政策保存或報廢，確保不留任何洩漏風險。
• 使用者應定期清理不必要資料、舊檔與暫存資訊，以降低資料外洩及資安風險。

4.5. 資安教育訓練
  4.5.1 訓練要求

• 新進人員須完成資安教育訓練。
• 每年至少執行一次資安宣導。

  4.5.2 訓練內容

• 資安概念、釣魚郵件辨識、帳號密碼管理等主題。

5. 修訂與生效
本辦法經SDG集團會議核定後實施，如需增修，依同程序辦理。

發布日期2025/12/9