資訊及網路安全管理規範

一、前言

為確保公司電子檔案之儲存與保全、電子資料傳輸等管理有所依循，並有效降低公司營業機密或文件資料外洩之風險，確保資訊安全，並提升全體員工資安意識，特訂定本管理規範，所有同仁均應遵循執行。

二、電腦設備使用規範

1. 公司電腦（含桌上型、筆記型，以下統稱「公司電腦」）由資訊中心統一管理，使用者不得擅自安裝、拆卸、變更硬體設備。公司電腦最大權限回收。

2. 公司電腦最大系統權限由資訊中心回收，員工如因業務需要需提升權限，應填寫《電腦帳號特殊權限申請表格》，經主管核准後由資訊中心設定。

3. 公司電腦禁止下載、使用、持有或轉發非法軟體，亦不得安裝未經授權或來源不明之應用程式。

4. 使用公司電腦時，員工如需暫時離席，須立即啟用螢幕鎖定功能（Win+L 或等效方式）。

5. 下班或長時間不使用時，電腦應執行關機。

6. 公司電腦 USB 存取功能預設關閉，如有業務需求，需填寫《USB 傳輸開放申請單》，經主管及資訊中心核准後，方可開放。

7. 存放公司資料之電腦與儲存裝置，持有人應妥善保管並定期備份；若涉及機密資訊，應使用加密技術（如 BitLocker、加密壓縮檔案等）。

8. 公司電腦必須安裝防毒軟體，並設為自動更新病毒碼與定期掃描，使用者不得停用或解除安裝。

9. 電腦作業系統與應用程式應定期更新，由資訊中心統一維護與通知使用者配合。

10. 電腦設備若遺失或遭竊，使用者應立即通報部門主管與資訊中心，並於必要時報警處理。

11. 公司對外網路服務需優先實施安全性更新(例如：公司對外網站、VPN 服務器…)、其次優先為公司內電腦及伺服器更新。由服務負責人或裝置管理者負責更新。

三、帳號與密碼管理規範

1. 使用者帳號密碼不得與個人身分資訊（姓名、生日、電話、身分證號等）相同或相似。

2. 密碼長度至少 8 碼，須包含大寫字母、小寫字母、數字與特殊符號，並每 90 天更換一次。

3. 新密碼不得與前 3 次密碼相同。

4. 密碼不得以紙張張貼於螢幕、電腦旁或任何容易被看見的地方。

5. 嚴禁借用或冒用他人帳號登入公司系統。

6. 如懷疑帳號外洩，使用者應立即變更密碼並通報資訊中心。

四、電子郵件使用規範

1. 公司電子郵件由資訊中心統一管理，並保留備份與稽核之權利。

2. 禁止寄送與工作無關或不當內容（非法軟體、廣告信件、色情、博奕、政治宣傳等）。

3. 涉及機密文件或敏感資訊時，寄件人應採加密方式處理（如加密檔案、權限控管連結等）。

4. 禁止回覆或點擊來源不明郵件之連結、附件或圖片，若懷疑為釣魚郵件，應立即刪除並通報資訊中心。

五、網路與上網使用規範

1. 公司對所有上網行為保有記錄與稽核之權利。

2. 不得瀏覽非工作需求或具高風險性之網站（如社群網站、博奕、色情、盜版、

駭客論壇）。

3. 未經核准，不得上傳或儲存公司機密資料於外部網站、雲端硬碟或個人信箱。

六、USB 與外部儲存裝置規範

1. 未經主管及資訊中心核准，不得將公司資料複製、搬移至 USB 或外部儲存裝置。

2. USB 僅限於業務用途，嚴禁私人使用。

3. 存放機密資料之 USB 必須使用加密，並妥善保管。

4. 外部人員攜帶之 USB 需連結公司電腦時，必須先經資訊中心檢測與掃毒。

七、遠端存取規範

1. 員工如需遠端存取公司資源，應提出《VPN 申請單》，經主管核可後由資訊中心設定。

2. 遠端連線僅限公司配發之電腦，不得使用私人裝置連線。

3. 遠端連線應使用雙因素驗證（2FA/MFA）或憑證，以確保安全性。

八、共享資料與檔案管理

1. 部門應指定專責人員管理共享資料夾，依業務需求分配存取權限。

2. 存放於共享資料夾之檔案應定期檢視與清理，避免存有過期或無效資料。

3. 機密性或敏感性資料不得存放於對外可存取的資訊系統或共享平台。

九、問題通報與應變規範

1. 員工若發現電腦異常（如中毒、遭駭、資料遺失）應立即通報直屬主管與資訊中心。

2. 資訊中心應即時處理，並紀錄事件發生時間、地點、原因與處理結果，必要時通報公司高層。

3. 相關部門應進行檢討並提出改善計畫，以避免類似事件再次發生。

4. 通報電話及專線：

it@thinkingsoftware.tw

035711110,21

0225630247,18

十、教育訓練與稽核

1. 公司將定期舉辦資訊安全教育訓練，所有員工應參加。

2. 資訊中心將不定期進行安全稽核，若發現違反規範，將依公司獎懲制度處理。