公司資訊安全管理規定

一、 總則與適用範圍

• • 目的： 確保公司資訊資產（硬體、軟體、數據）的機密性、完整性與可用性。
• • 適用對象： 全體員工、兼職人員、實習生及合約廠商。

二、 帳號與密碼管理 (Identity Access Management)

• • 密碼強度： 需包含大小寫字母、數字及特殊符號，長度至少 8-12 位。
• • 更換頻率： 強制每 90 天更換一次，且不得與前 3 次重複。
• • 多因素驗證 (MFA)： 登入公司信箱、VPN 或關鍵系統時，必須啟用手機 App 或簡訊驗證。
• • 權限最小化： 員工僅能擁有其職務所需的最低權限，離職或調職時需即時停權。

三、 電腦與行動裝置安全

• • 桌面清空原則 (Clean Desk)： 離開座位時必須鎖定螢幕（快捷鍵 Win + L），下班時桌面不得留有含敏感資訊的紙本文件。
• • 外部裝置管制： 嚴禁未經授權使用 USB 隨身碟或行動硬碟。建議公司電腦鎖定 USB 傳輸功能。
• • 軟體安裝： 禁止私自安裝非授權軟體、破解版軟體或 P2P 下載工具。

四、 網路與通訊安全

• • 公共 Wi-Fi 限制： 在外辦公嚴禁連接未加密的公共 Wi-Fi，必須使用公司 VPN。
• • 社交工程防範： 定期進行防釣魚演練，禁止點擊來源不明的電子郵件附件或網址。

五、 資料保護與備份

• • 資料分類： 將資料分為「公開」、「內部使用」、「機密」與「極機密」四級。
• • 3-2-1 備份原則：
  • • 至少製作 3 份備份。
  • • 使用 2 種不同的儲存媒體（如雲端、NAS）。
  • • 至少 1 份存放於異地（防止火災或自然災害）。

六、 獎懲與通報機制

• • 資安事故通報： 發現中毒、駭客攻擊或資料外洩時，必須在 30 分鐘內通報 IT 部門。
• • 違規處理： 違反資安規定者，視情節輕重予以行政處分；若涉及法律責任（如外洩營業秘密），公司將保留法律追訴權。