資訊安全風險管理
一、資訊安全風險管理架構:
本公司資訊安全之權責單位為資訊中心資安處,該單位設置專責資安主管與專業資安人員,負責訂定公司資訊安全政策、規劃暨執行資訊安全防護與資安政策推動與落實,並由資安主管每年至少一次向董事會彙報資安管理成效、資安相關議題及方向,112年度資安管理實際執行情形業已於112年12月13日提報董事會。
二、資訊安全政策
1. 本公司全體員工皆須遵循公司之資安政策管理規定,以落實資訊安全管理並確保所屬資訊資產之機密性、完整性及可用性,達成企業永續經營之目標。
2. 本公司資通安全管理辦法內容包含: 裝置使用、傳統文件、媒體儲存裝置、存取控制、軟體使用、無線網路、實體環境與安全、帳號密碼與金鑰、系統開發和維運、電子郵件與通訊軟體、供應商與人員任用、資訊安全事件管理及資安懲處等相關規範。
三、具體管理方案
1.遵循法令及導入國際資安認證標準,落實資通安全管理規範,強化資通安全事件之處理能力,保護公司與客戶之資產安全。
2.加入資訊安全聯防組織,分享資安情資,進行「資安聯防」。
3.建置新世代防火牆,提供高威脅防護及有效阻擋駭客非法入侵。
4.伺服器與終端電腦設備安裝智能防毒軟體,病毒碼採系統自動更新,有效阻擋最新病毒入侵。
5.電子郵件伺服器建置郵件防毒、垃圾郵件過濾機制,防堵病毒或垃圾郵件進入使用者電腦。
6.機房內系統建置完整備份機制,重要核心系統亦建置異地備援機制,確保公司永續經營。
7.工廠產線設備建置新世代資安防護系統,確保OT作業資安無虞。
8.VPN系統採雙因子認證機制,確保遠端登入人員身分驗證無誤,所有遠端登入具完整進出紀錄以供日後稽查。
9.機房伺服器定期進行弱點掃描及漏洞修補,避免駭客利用漏洞進行攻擊,以降低資安風險。
10.各應用系統每年進行一次災難復原演練,確保企業營運不中斷。
11.公司員工定期實施資通安全教育訓練及社交工程演練,提升員工資訊安全認知。
四、投入資訊安全之資源
資訊安全是營運重要議題,本公司對應資安管理事項及投入之資源方案如下:
1.專責人員:設有資安主管及資安人員各一人,112年受有專業資安訓練時數共計80小時,並取得ISO27001 LA 主導稽核員證照及經濟部產業人才資訊安全工程師鑑定證書。
2.資安聯防組織:加入「台灣電腦網路危機處理暨協調中心(TWCERT/CC)」會員,每日分享資安情資給相關同仁,強化公司資安防護。
3.資安認證:112年通過ISO27001資訊安全國際標準認證(證書有效期至114年10月31日),相關資安稽核無重大缺失。
4.客戶滿意:無重大資安事件。
5.災難復原演練:每年針對核心系統進行災難復原演練,112年共進行4次演練,包含ERP, MES, WMS, PORTAL 等核心系統。
6.教育訓練:
(1)資安教育訓練
每年針對公司全體員工進行實體/線上資安教育訓練,112年共舉辦17場實體課程,合計共510人參加。
(2)社交工程演練
每季進行公司全體員工社交工程演練,112年共進行四次社交工程演練,合計共發送2,348封釣魚郵件測試。
(3)資安公告
不定時對公司同仁發佈資安公告,以落實資安政策及資安宣導,112年共發佈10項資安公告。