詢價3.4 資訊安全
▉ 資安管理政策
確保本公司主機、網路設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,並建立資通安全管理規範。確保本公司資訊之機密性,保障公司機密與個人資料,及業務相關資訊完整性及可用性,提高作業效能品質。並配合公司政策之推動,提昇資通安全防護能力,同時確保公司持續營運之目標。
▉ 資安管理項目
為落實資訊安全管理,公司應成立資訊安全組織,成員應含公司高階主管,負責推動、協調及督導下列資訊安全管理事項:
1. 資訊安全政策之核定及督導
2. 資訊安全責任之分配及協調
3. 資訊資產保護事項之監督
4. 資訊安全事件之檢討及監督
5. 其他資訊安全事項之核定
6. 定期召開資訊安全會議
.jpg)
3.4.1 資訊安全組織
▉ 資訊安全組織職掌與管理措施
本公司2022年3月8日通過公司治理主管編制,並成立公司治理暨ESG永續發展委員會組織,風險管理小組組織當中設立資訊安全風險管理小組,由資訊主管擔責統籌資訊安全及保護相關政策制定、執行、風險管理與遵循度查核;連同其他風險小組由公司治理主管每年向審計委員會/董事會彙報資安管理成效、資安相關議題及方向。
▇ 資訊安全相關工作職掌由總公司與海外子公司各資訊成員擔任,每年皆依照資訊安全更新需求編列預算。
▇ 資訊安全政策與目標:本公司資訊安全政策與目標在確保資訊系統及資訊資產之機密性、完整性及可用性,並防範本公司之營運受到資通安全事件衝擊,以降低營運風險。
▇ 本公司資訊安全組織為有效落實資安管理,台灣總部與海外子公司各資訊單位皆定期召開會議,檢視資訊安全政策適用性與保護措施。
▇ 資訊安全風險對公司財務業務之影響及因應措施。
本公司已建立全面的網路與電腦相關資安防護措施,但無法保證其控管或維持公司製造營運及會計等重要企業功能之電腦系統能完全避免來自任何第三方癱瘓系統的網路攻擊。本公司透過持續檢視和評估其資訊安全防護機制,盡力確保其適當性和有效性。
▇ 最近年度及截至年報刊印日止,本公司並無因重大資通安全事件導致對本公司財務業務產生重大損失與影響,但相關因應措施持續討論堅實公司資訊安全以降低營運風險。
3.4.2 資訊安全風險評估
3.4.3 2023年度投入資通安全管理之資源及執行成果
- 投入硬體:如防火牆、交換機、不斷電系統、伺服器、多重線路、VPN設備、NAS等。
- 投入軟體:如防毒軟體、垃圾郵件過濾、備份軟體、伺服器虛擬化軟體等。
- 資安政策
■依循ISO 27001精神訂定資通安全管理辦法並施行之。
■資產價值評估辦法/手法推行。
■資訊風險評估辦法/手法推行。
■依資產價值及風險修訂備份與備援管理機制,以降低資安風險對營運之衝擊。
- 資通安全架構強化執行項目:
■2023年3月進行資安健診,包含網路架構檢視、封包監聽與分析、網路設備紀錄檔分析、使用者主機檢視、伺服器主機檢視、目錄伺服器設定檢視/防火牆連線設定等。
■2023年4月進行第一次滲透測試及弱點掃描。
■2023年4月施行第一次電子郵件社交工程演練,演練對象人數共60人,社交工程演練郵件共300封。
■2023年8月進行第二次滲透測試及弱點掃描。
■2023年9月施行第二次電子郵件社交工程演練,演練對象人數60人,社交工程演練郵件共300封。
■2023年11月升級汰換老舊伺服器並移轉虛擬化管理。
■2024年1月DNS移轉第三方服務代管,避免DDoS癱瘓或是劫持等惡意攻擊。
- 教育訓練:
■2023年7月完成第一次資訊安全暨電子郵件社交工程防治宣導課程共2小時,參與課程人數共47人。
■2023年11月完成第二次資訊安全暨電子郵件社交工程防治宣導課程共2小時,參與課程人數共49人。
- 其他投入資源:
■每日常態系統狀態巡檢。
■每週定期檢查備份計劃之執行狀況。
■每月定期伺服器設備健檢。
■每季定期不斷電系統設備檢查。
■資訊循環內部稽核。
■會計師稽核。
7.本公司已於2023年12月26日董事會報告修訂資訊安全管理政策與程序及資訊安全管理現況及執行情形。
3.4.4 ISO27001認證
本公司重視資訊安全與資訊管理攸關經營命脈,集團階段性規劃取得資安ISO27001認證,證照已放置公司網站,請參閱 證書
