「天基電子工業有限公司資訊安全防範管理規章」

資訊安全防範管理規章

第一章　目的

為維護公司資訊之機密性（Confidentiality）、完整性（Integrity）與可用性（Availability），確保資訊系統及資產免受未經授權之存取、使用、揭露、毀損或遺失，特訂定本規章，作為公司各單位及全體員工執行資訊安全防範作業之依據。



第二章　適用範圍

本規章適用於本公司全體同仁、約聘人員、外包人員及臨時進入公司資訊區域之訪客。

適用範圍包括公司所有資訊資產、資訊系統、網路設備、資料儲存媒體及雲端服務。



第三章　名詞定義

1. 資訊安全：指確保資訊之機密性、完整性及可用性。

2. 資訊資產：包括軟體、硬體、網路設備、資料、文件、及作業流程。

3. 使用者：指具有授權存取公司資訊系統或資源之人員。

4. 資訊安全事件：指任何可能影響資訊安全之異常或威脅，如病毒入侵、資料外洩、未授權登入等。

5. 資訊安全執行小組：負責資訊安全政策制定、推動、教育訓練與稽核之單位。



第四章　管理原則

1. 公司資訊安全管理依據《資訊安全政策》(HP-001)及相關程序書執行。

2. 各單位主管應確保所屬人員了解並遵循資訊安全要求。

3. 員工應確實執行資訊安全守則（HR-005-F01）及簽署保密切結書。

4. 資訊安全執行小組應定期評估風險（依 HR-006 風險管理程序書），並採取適當控制措施。

5. 所有資訊安全措施之執行、監督與改善，應落實於文件化管理流程中。



第五章　各項防範措施

一、實體安全

1. 資訊機房應設置門禁管制及監視系統，進出人員須登記（HR-010-F02）。

2. 外部人員進出須經核准並由內部人員陪同。

3. 設備進出須填寫申請單（HR-010-F04、HR-010-F05）。

二、網路安全

1. 網路設備設定變更須依程序申請（HR-012-F02）。

2. 應定期進行弱點掃描及修補（HR-011-F02）。

3. 外部連線應經授權（HR-012-F04），並採VPN或安全通道連線。

三、存取控制

1. 帳號建立、異動與刪除須依HR-008程序書執行。

2. 使用者應妥善保管密碼，並定期變更（HR-009）。

3. 權限應符合最小必要原則，避免共享帳號。

四、惡意軟體防護

1. 各終端設備須安裝防毒軟體並自動更新（HW-004）。

2. 禁止下載或安裝未經授權之應用程式。

五、資料備份與回復

1. 各系統應定期執行資料備份（HW-002），並妥善保存備份媒體。

2. 定期進行備份回復測試（HW-002-F02），確保可用性。

3. 六、行動裝置安全

4. 使用行動裝置連線公司網路時，應依HW-001規範設定安全措施。

5. 遺失或遭竊時，應立即通報資訊安全執行小組。



第六章　教育訓練與稽核

1. 資訊安全教育訓練每年至少辦理一次，內容包括資訊安全政策、事件通報程序及防範措施（依HR-005）。

2. 新進人員應於報到時完成基本資訊安全教育。

3. 資訊安全執行小組應依HR-017《資訊安全查核作業規範》定期執行內部稽核，追蹤矯正措施執行情形。



第七章　附則

1. 本規章由資訊安全執行小組制定，經總經理核准後實施。

2. 本規章未盡事項，依公司相關程序書及管理辦法辦理。

3. 本規章之修訂由資訊安全執行小組負責提出，經審核與核准後公告實施。

 

「天基電子工業有限公司設施（備）安全防範管理規章」

設施（備）安全防範管理規章

第一章　目的

為確保公司各項設施、設備及廠區環境之安全，防止人為破壞、竊盜、火災、水災及其他災害事件，並保障人員生命及公司財產，特訂定本規章，作為全體人員執行設施（備）安全防範之依據。

第二章　適用範圍

本規章適用於本公司所有生產、辦公、倉儲、資訊機房及其他相關區域之設施與設備，包括：

1. 建築物與門禁管制區域。

2. 電力、空調、消防、監控等基礎設施。

3. 資訊設備、機房、伺服器與通訊設施。

4. 生產線機具與儀器設備。

5. 公司所有財產性資產之保全與使用場所。

第三章　名詞定義

1. 設施（Facility）：指公司之建築物、機房、廠房、倉儲區及其相關基礎建設。

2. 設備（Equipment）：指資訊設備、生產設備、檢測儀器及其他作業所需之器材。

3. 門禁管制：指對出入受管制區域之人員、物品或車輛，進行登記、審核及監控之程序。

4. 安全事件：指任何可能造成設施或設備損害、失竊、破壞、停機或中斷之事件。

第四章　管理原則

1. 設施與設備之管理應遵循「安全、秩序、預防」原則，並依公司核定程序進行維護與使用。

2. 各部門主管應確保其所屬區域之設備與環境安全，並定期自我檢查。

3. 資訊機房及高價值設備應依《實體安全管理程序書》(HR-010)規範設置管制措施。

4. 外部廠商進場施工或維護，須事前登記並由專責人員陪同，禁止單獨進入管制區域。

5. 發生異常、損壞或災害時，應立即通報主管及資訊安全執行小組，並依事件通報流程處理。

第五章　各項防範措施

一、廠區出入管理

1. 公司廠區、倉庫及機房均應設置門禁系統或警衛管制。

2. 員工應使用識別證感應進出，不得冒用或借予他人使用。

3. 訪客進入時須事前登記，並由接待人員全程陪同。

二、設備管理

1. 設備進出公司場區須填寫「物品設備攜出入單」（HR-010-F05）並經主管核准。

2. 重要設備移動、借用或報廢須留存紀錄並由設備管理人員監督。

3. 生產設備或資訊設備異常時應立即通報並記錄。

三、消防與防災

1. 公司各區域應依消防法規設置滅火器、警報及緊急照明設施。

2. 電力系統及空調系統應定期檢修，避免過載或短路。

3. 每年至少實施一次防火、防災與緊急疏散演練。

四、監控與防竊

1. 廠區及重要出入口應設置監視系統，錄影資料至少保存30日以上。

2. 夜間或假日應加強巡邏，警衛人員須填寫巡邏紀錄表。

3. 監控系統之存取與影像調閱應限授權人員進行。

五、環境安全

1. 機房、倉儲及生產線環境須保持整潔，並確保溫度、濕度及防靜電條件符合標準。

2. 應設置防水、防潮、防震與防塵措施。

3. 禁止於設備區域內飲食、吸菸或存放易燃物品。

六、災害與異常應變

1. 遭遇火災、水災、停電等狀況時，應立即依《營運持續管理規範》(HR-016)執行應變。

2. 若造成設施或設備損壞，須於事件結束後填寫「資訊安全事件報告單」（HR-015-F01）。

第六章　教育訓練與稽核

1. 公司應定期對全體員工實施設施安全、防火防災及緊急應變訓練。

2. 新進人員於入職訓練中，應接受設施安全與保全規範教育。

3. 資訊安全執行小組每年至少進行一次實體與設施安全查核，並記錄於「資訊安全內部稽核報告」（HR-017-F02）。

第七章　附則

1. 本規章由資訊安全執行小組負責制定與修訂，報請總經理核准後實施。

2. 本規章未盡事宜，依公司其他相關管理辦法及程序書辦理。

3. 本規章自發布日起生效，並應定期檢討與更新。

 

「天基電子工業有限公司作業管理規章」

作業管理規章

第一章　目的

為確保公司各項業務運作、資訊系統及生產活動之安全與穩定，明確作業流程、權責及通報機制，建立統一之管理標準，以降低操作錯誤及營運中斷風險，特訂定本規章。

第二章　適用範圍

本規章適用於公司所有資訊、行政、生產及研發等相關作業活動，包含：

1. 資訊系統日常操作與維護。

2. 生產與測試作業管理。

3. 文件、資料及紀錄之處理。

4. 外部供應商與委外作業之控管。

5. 作業異常與事故之通報與回復。

第三章　名詞定義

1. 作業管理（Operations Management）：指對日常營運活動進行規劃、執行、監控及持續改善之過程。

2. 異常事件（Incident）：指作業中發生之異常或錯誤，可能影響系統、設備或服務正常運作。

3. 標準作業程序（SOP）：指經核准後，用以確保作業一致性及品質之文件化流程。

4. 維運人員：指負責系統操作、維護或監控之公司人員。

第四章　管理原則

1. 各項作業應遵循經核准之作業程序，並依授權層級執行。

2. 任何系統、程式或設定之修改，須經主管核准後方可實施。

3. 作業人員應遵守「資訊安全政策」及「人員資訊安全守則」。

4. 所有作業活動須記錄於操作日誌或系統紀錄中，供稽核追蹤。

5. 發現異常、錯誤或事件時，應立即依「資訊安全事件管理規範（HR-015）」通報處理。

第五章　作業防範與控制措施

一、日常作業管理

1. 所有系統操作須依作業SOP執行，避免臨時性、口頭指示之作業。

2. 各部門應建立作業交接制度，交接應留存簽認紀錄。

3. 關鍵作業（如系統重啟、資料匯入、版本更新）須雙人確認。

二、變更管理

1. 系統或軟體變更須依「變更申請程序」提出申請並完成測試。

2. 經核准之變更，應記錄變更內容、執行人員、時間及結果。

3. 若變更造成異常，應立即執行回復計畫並通報主管。

三、系統監控

1. 應定期檢查系統運作狀況，監控異常登錄、CPU使用率、磁碟容量等。

2. 系統日誌須保存至少三個月，以供查核追蹤。

3. 發現異常時應立即分析原因，並建立事件處理紀錄。

四、備援與回復

1. 關鍵系統應建立備援機制，確保故障時可快速回復。

2. 定期執行資料備份與回復測試，確保資料可用性（依 HW-002）。

3. 作業中斷時，應依「營運持續管理規範（HR-016）」執行。

五、委外作業管理

1. 委外服務廠商須簽署保密切結書（HR-014-F01）。

2. 委外人員進行操作前，應完成相關教育訓練並登錄作業紀錄。

3. 委外工作完成後須進行驗收及確認紀錄。

六、資料與文件管理

1. 作業紀錄應妥善保存，不得任意塗改或刪除。

2. 作業文件須版本控管，確保現行版本一致性。

3. 文件應依「文件管理程序書（HR-003）」進行歸檔與維護。

第六章　教育訓練與稽核

1. 各單位應每年辦理至少一次作業安全與異常應變訓練。

2. 新進或職務異動人員，須完成相關作業安全教育後方可執行作業。

3. 資訊安全執行小組應定期稽核各單位作業紀錄與日誌保存情形，並提出改善建議。

第七章　附則

1. 本規章由資訊安全執行小組負責制定與修訂，報總經理核准後實施。

2. 本規章未盡事項，依公司其他管理辦法或程序書辦理。

3. 本規章自發布日起生效，並應至少每年檢討一次。

Vaprosafe 實施多層次的防護機制，確保所有偵測設備與個人防護裝備的數據傳輸與存儲均符合國際安全標準。