首页 首页 > 企业永续 > 公司治理

资讯安全风险管理

一、资讯安全風險管理架構:

本公司资讯安全之权责单位为资讯中心资安处,该单位设置专责资安主管与专业资安人员,负责订定公司资讯安全政策、规划暨执行资讯安全防护与资安政策推动与落实,并由资安主管每年至少一次向董事会汇报资安管理成效、资安相关议题及方向,2023年度资安管理实际执行情形业已于2023年12月13日提报董事会。

 

二、资讯安全政策

1.本公司全体员工皆须遵循公司之资安政策管理规定,以落实资讯安全管理并确保所属信息资产之机密性、完整性及可用性,达成企业永续经营之目标。

2.本公司资通安全管理办法内容包含: 装置使用、传统文件、媒体储存装置、访问控制、软件使用、无线网络、实体环境与安全、账号密码与密钥、系统开发和维运、电子邮件与通讯软件、供货商与人员任用、资讯安全事件管理及资安惩处等相关规范。

 

三、具体管理方案

1.遵循法令及导入国际资安认证标准,落实资通安全管理规范,强化资通安全事件之处理能力,保护公司与客户之资产安全。

2.加入资讯安全联防组织,分享资安情资,进行「资安联防」。

3.建置新世代防火墙,提供高威胁防护及有效阻挡黑客非法入侵。

4.服务器与终端计算机设备安装智能防病毒软件,病毒特征采系统自动更新,有效阻挡最新病毒入侵。

5.电子邮件服务器建置邮件防毒、垃圾邮件过滤机制,防堵病毒或垃圾邮件进入用户计算机。

6.机房内系统建置完整备份机制,重要核心系统亦建置异地备援机制,确保公司永续经营。

7.工厂产线设备建置新世代资安防护系统,确保OT作业资安无虞。

8.VPN系统采双因子认证机制,确保远程登录人员身分验证无误,所有远程登录具完整进出纪录以供日后稽查。

9.机房服务器定期进行弱点扫描及漏洞修补,避免黑客利用漏洞进行攻击,以降低资安风险。

10.各应用系统每年进行一次灾难复原演练,确保企业营运不中断。

11. 公司员工定期实施资通安全教育训练及社交工程演练,提升员工资讯安全认知。

 

四、投入资讯安全之资源

资讯安全是营运重要议题,本公司对应资安管理事项及投入之资源方案如下:

1.专责人员:设有资安主管及资安人员各一人2023年受有专业资安训练时数共计80小时,并取得ISO27001 LA 主导稽核员证照及经济部产业人才资讯安全工程师鉴定证书。

2.资安联防组织:加入「台湾计算机网络危机处理暨协调中心(TWCERT/CC)」会员,每日分享资安情资给相关同仁,强化公司资安防护。

3.资安认证:2023年通过ISO27001资讯安全国际标准认证(证书有效期至2025年10月31日),相关资安稽核无重大缺失。

4.客户满意:无重大资安事件。

5.灾难复原演练:每年针对核心系统进行灾难复原演练,2023年共进行4次演练,包含ERP, MES, WMS, PORTAL 等核心系统。

6.教育训练:

(1)资安教育训练

每年针对公司全体员工进行实体/在线资安教育训练,2023年共举办17场实体课程,合计共510人参加。

(2)社交工程演练

每季进行公司全体员工社交工程演练,2023年共进行四次社交工程演练,合计共发送2,348封钓鱼邮件测试。

(3)资安公告

不定时对公司同仁发布资安公告,以落实资安政策及资安倡导,2023年共发布10项资安公告。