實體及環境安全：

• 訪客進出管理：(包含客戶/廠商/參訪人員…等非公司員工)
• 非本公司員工之人員來訪洽公時，在守衛室填寫『訪客進出登記表』，進入廠區時需配合在一般區域，如公務需求進入管制區域活動時，另填寫『人員進出管制區登記表』。
• 訪客進入管制區域，應有公司同仁陪同，嚴禁獨自在管制區域內走動。
• 廠商進入管制區域維修各項設備時，負責人員應隨時注意該作業人員的作業狀況。
• 嚴禁在管制區域拍照攝影，如有必要時，必須經由權責部門主管同意後由專人陪同執行。

資料存取限制：

• 網路權限使用者密碼原則：不得低於8個字元，每180天，必須變更一次密碼，密碼更改時，新密碼不得與前次密碼重複，使用者應負責保護密碼，維持密碼的機密性。
• 使用者應保持個人電腦螢幕淨空與辦公桌之桌面淨空政策，將必要的資料或資訊做好保管。
• 個人電腦及伺服器暫不使用時，自動進入螢幕鎖定模式，並且強制設定為密碼登入之保護，設定自動螢幕保護啟動時間不可高於5分鐘。
• 個人密碼須妥善保管，密碼管理不當將可能導致未經授權使用及不當存取之風險。
• 資訊部每年檢討及評估使用者之存取權限，提供『帳號權限檢核表』交各單位主管確認權限適切性。
• 為確保資訊系統之穩定性，公司電腦相關軟體安裝皆由資訊部確認版本、授權及無安全問題後進行安裝，包含軟體版本更新時。
• 資訊部每年對所有使用者安裝資訊軟體進行清查，若有不合法之軟體，將要求設備負責人立即移除，以避免面臨法律侵權風險；平時若發現不合法之軟體，除要求即刻移除外，若致使發生侵權之損失，將由安裝不合法軟體之使用者負起所有賠償責任。

電腦螢幕淨空

• 防止未授權人員看到機密資訊；截圖或拍攝螢幕內容
• 離開座位時桌機關閉螢幕電源；筆電則按(windows鍵+L鍵)鎖定螢幕

資訊資產管理

• 新購置之資訊軟體與硬體設備應進行測試驗收，規格符合要求後，才可由使用單位或委由廠商進行安裝及載入，如為軟體類資訊資產，應先進行掃毒。
• 新增購買資訊軟體與硬體設備，設備相關之授權保證書、技術說明書、安裝軟體等，由權責單位列管保存。
• 資訊資產有汰換需求時，使用單位主管須確認資訊設備是否含有機密資料，設備於汰換前，使用單位需將設備內之資料進行清除。
• 含有機密資料之設備於變更時，設備負責人需採取格式化的方式將設備內之資料進行清除。
• 資產管控方式如下頁。

行動媒介管理

• 基於資料安全及保密原則，訪客、廠商及同仁得以使用行動裝置，但不得利用行動資訊設備等管道，將所屬機密資料外傳。
• 外部行動媒介欲存取資料時，於使用前將該行動媒介執行掃毒程序完成後方可使用，以確保資訊作業安全。
• 如需借用備用筆記型電腦，則須填寫「電腦借出登記表」向保管單位申請，且應妥善保管借用之設備，不可將設備轉借其他同仁，未使用時應立即歸還。
• 筆記型電腦欲攜出公司外使用時，需設定開機密碼、安裝防毒軟體，並加以妥善管理，及限制與公司應用系統之連線，以維護其安全性。
• 可攜式媒體管理：
• 使用可攜式設備及儲存媒體連結公司資訊設備時，需先行掃毒，以避免可能之惡意程式。
• 可攜式設備及儲存媒體若存有機密等級以上資料，應加密儲存或實施安全控管措施。
• 可攜式存儲媒體的遞送，應妥善包裝保護。
• 禁止使用可攜式設備及儲存媒體儲存未經授權資料或與職務無關文件資料。
• 妥善保存相關可攜式設備及儲存媒體、避免遺失或遭竊取導致資料遺失或外流。
• 使用者應自行檢視可攜式設備及儲存媒體資料內容，如有來源不明程式或資料及不明軟體，應立即進行移除及進行掃毒。
• 可攜式設備及儲存媒體如為部門內共用，使用者於使用完畢後，將所有資料文件移除，以避免資料遭他人誤用。

資料傳送

• 同仁在使用E-Mail或檔案伺服器傳遞機密等級以上資料時，應將資料做加密或設定存取權限等安全防護，完成設定後才進行資料傳送。(如第一封Mail傳遞加密檔案，第二封傳遞密碼)
• 同仁不得利用任何傳輸媒介傳遞未經設定安全防護的機密資料給其他人員。
• 為落實本公司重要核心資訊系統安全，網路連線傳輸需透過https（加密式網頁）連線，進行加密管理。
• 電子郵件傳輸管理，如同仁離職時，須於3個工作天內將電子郵件帳號與密碼異動或關閉。
• 同仁所使用的個人電子郵件信箱，應自行妥善保存及備份，並定期刪除不重要之郵件，以避免信件容量不足或個人郵件資料庫毀損，導致重要信件遺失。
• 同仁對於來路不明之電子郵件應謹慎小心且不宜任意開啟，以避免啟動惡意程式，使電腦或網路系統遭受破壞。
• 同仁嚴禁發送匿名信或偽造他人之名義發送郵件，以避免造成不必要的困擾及誤會。

網路安全

• 同仁在使用網路傳送機密等級以上的資料時，應注意資料的完整性及機密性，並留意作業系統操作的安全性。
• 同仁經主管授權使用網路後，只能在授權範圍內存取網路資源。
• 使用網路時不得將自己登入之身分識別與密碼交付他人使用。
• 使用網路時禁止以任何方法竊取他人之登入身分與網路通行碼。
• 使用網路時禁止以任何儀器設備或軟體工具進行非授權截取網路上的資訊。
• 使用網路時禁止在網路上取用未經授權之檔案。
• 使用網路時不得將色情檔案建置在網路，亦不得在網路上散播色情文字、圖片、影像、聲音等不法或不當之資訊。
• 使用網路時禁止發送電子郵件騷擾他人，導致其他使用者之不安與不便；或以任何手段蓄意干擾或妨害網路系統之正常運作。
• 置於公開網路應用服務須採取適當之加密機制(如HTTPS)，以確保資料傳遞之安全性。
• 資料洩露預防 :本公司建立資訊分級、標示及處置之規則，以確保機密資料得到識別及控管。
• 電子郵件傳輸留下傳送軌跡，包含寄件者、收件者及附件，以作為稽核及追溯之依據。
• 同仁簽署保密協議瞭解資訊保密責任及義務，以達資料洩漏預防之目的。
• 禁止使用透過USB A、Type C 規格..等儲存媒體插入公司個人電腦。若因公務上有需求必須使用之同仁，請至smartBPM填寫網路權限申請單，經主管核決後開通。
• 非職務之必要，管制區域內禁止同仁攝影、拍照。
• 留意網路釣魚攻擊，網路釣魚試圖誘騙點擊連結以獲取非法情事，若經網路釣魚攻擊，請盡速通知資訊單位處理。
• 網頁過濾，封鎖存取下列型式之網站：
  • 具資訊上傳功能之網站，除非基於正當的營運理由而允許。
  • 色情、暴力、賭博、遊戲。
  • 可疑之惡意網站(例:散布惡意軟體或網路釣魚內容的網站。)
  • 由威脅情資中獲取之惡意網站。
  • 分享非法內容之網站。

資訊安全事故及通報

• 資訊安全事件發生時，發現人員應依程序進行通報，並採取必要之應變措施與建立事件學習機制，以降低事件所造成之損害。
• 發現人員包含本公司同仁、約聘僱人員與委外駐點人員，發現疑似資訊安全事件時，皆負有即時通報之責任。(通報於資訊部)
• 事件辨識，符合下列任一情形者屬之：
• 內部使用資料遭洩漏。
• 核心業務系統或資料遭竄改。
• 核心業務運作遭影響或短暫停頓。