3.4 資訊安全

▉ 資訊安全組織

▉ 資訊安全組織職掌與管理措施

本公司於2022年3月8日正式通過了公司治理主管編制,並成立了公司治理暨ESG永續發展委員會,這一決策標誌著我們在公司治理和永續發展方面的進一步深化和制度化。為強化風險管理,我們在風險管理小組中設立了資訊安全管理小組,由資訊主管擔任負責人,全面統籌資訊安全及保護相關政策的制定、執行、風險管理與遵循度查核。

資訊安全管理小組的職責包括:制定和執行資訊安全策略、監控資訊安全風險、以及確保公司資訊系統和資產的安全性。我們的資訊安全政策涵蓋了機密性、完整性、可用性等方面,旨在防範各種潛在的資通安全事件對公司業務運作的影響。這一小組定期檢視政策和措施的適用性,並對資安事件進行深入分析和應對。

此外,資訊安全管理小組與其他風險管理小組協同合作,由公司治理主管每年向審計委員會和董事會彙報資安管理的成效、相關議題及未來方向。這些彙報不僅包括資安防護的具體成果,也涵蓋了面臨的挑戰和應對策略,以確保董事會和審計委員會能夠全面了解公司在資訊安全方面的工作進展和風險管理狀況。

公司治理暨ESG永續發展委員會在這一過程中扮演了重要角色,協助確保所有風險管理活動符合公司治理和永續發展的目標。我們堅信,通過這樣的組織架構和制度安排,我們能夠更有效地保護公司的資訊資產,並為公司長期穩定的發展提供堅實的保障。

  • 資訊安全相關工作職掌由總公司與海外子公司各資訊成員擔任,每年皆依照資訊安全更新需求編列預算。
  • 本公司資訊安全政策與目標在確保資訊系統及資訊資產之機密性、完整性及可用性,並防範本公司之營運受到資通安全事件衝擊,以降低營運風險。
  • 本公司資訊安全組織為有效落實資安管理,台灣總部與海外子公司各資訊單位皆定期召開會議,檢視資訊安全政策適用性與保護措施。
  • 資訊安全風險對公司財務業務之影響及因應措施:本公司已建立全面的網路與電腦相關資安防護措施,但無法保證其控管或維持公司製造營運及會計等重要企業功能之電腦系統能完全避免來自任何第三方癱瘓系統的網路攻擊。本公司透過持續檢視和評估其資訊安全防護機制,盡力確保其適當性和有效性。
  • 2023年度本公司並無因重大資通安全事件導致對本公司財務業務產生重大損失與影響,但相關因應措施持續討論堅實公司資訊安全以降低營運風險。

▉ 資安管理政策

為了確保本公司的主機、網路設備及網路通訊的安全性,我們實施了一系列嚴格的措施,以有效降低因人為疏失、蓄意攻擊或天然災害等因素導致的信息資產遭竊取、不當使用、洩漏、竄改或破壞的風險。我們建立了全面的資通安全管理規範,這些規範涵蓋了資訊安全的各個方面,包括物理安全、網路安全、數據保護及應急響應等,以確保我們的資訊系統在各種風險情境下都能保持高水平的安全性。

我們致力於保障公司資訊的機密性,保護公司內部機密資料和個人資訊,並確保所有業務相關資訊的完整性和可用性。這不僅有助於提升作業效率和品質,還能防範潛在的資訊安全威脅。我們的目標是通過實施先進的資訊安全技術和策略,增強我們的資訊防護能力,並確保公司運營的連續性和穩定性。

此外,我們配合公司政策的推動,不斷提升資通安全防護能力。這包括定期進行安全評估和測試,更新和完善安全防護措施,並對員工進行資訊安全培訓,提升他們的安全意識和應對能力。我們將持續關注資訊安全領域的最新發展,採取必要的措施應對新興的威脅,以確保我們的系統能夠應對各種挑戰並支持公司的持續營運目標。

通過這些綜合措施,我們不僅能夠保護公司的資訊資產免受損害,還能夠提升整體業務運作的安全性和可靠性,確保公司在競爭激烈的市場中保持穩定和長期的成功。

▉ 資安管理項目

為落實資訊安全管理,公司應成立資訊安全組織,成員應含公司高階主管,負責推動、協調及督導下列資訊安全管理事項:

    1. 資訊安全政策之核定及督導

    2. 資訊安全責任之分配及協調

    3. 資訊資產保護事項之監督

    4. 資訊安全事件之檢討及監督

    5. 其他資訊安全事項之核定

    6. 定期召開資訊安全會議

 

 

▉ 資通安全管理及執行重點

▉ 2024年度投入資通安全管理之資源及執行成果

•資安工作組織:本公司設有資安專責主管1名及資安專責人員1名,負責資安相關維運事宜,並每半年定期向董事會報告資安現況。
•投入硬體:如防火牆、交換機、不斷電系統、伺服器、多重線路、VPN設備、NAS等。
•投入軟體:如防毒軟體、垃圾郵件過濾、備份軟體、伺服器虛擬化軟體等。
•資安政策
    (1)依循 ISO 27001精神訂定資通安全管理辦法並施行之。
    (2)每年定期辦理資產價值評估以鑑別公司核心資通系統。
    (3)每年定期辦理資訊風險評估以確立風險範圍,並制定風險改善計劃改善之。
    (4)依資產價值及風險修訂備份與備援管理機制,以降低資安風險對營運之衝擊。
    (5)每年定期辦理災難復原演練,以確保備份/備援架構之完整性與有效性。
    (6)加入TWCERT資安聯防組織,建立情資分享與通報程序。

•資通安全架構強化執行項目
    (1)2023年3月進行資安健診,包含網路架構檢視、封包監聽與分析、網路設備紀錄檔分析、使用者主機檢視、伺服器主機檢視、目錄伺服器設定檢視 / 防火牆連線設定等。
    (2)2023年4月進行第一次滲透測試及弱點掃描。
    (3)2023年4月施行第一次電子郵件社交工程演練,演練對象人數共60人,社交工程演練郵件共300封。
    (4)2023年8月進行第二次滲透測試及弱點掃描。
    (5)2023年9月施行第二次電子郵件社交工程演練,演練對象人數60人,社交工程演練郵件共300 封。
    (6)2023年11月升級汰換老舊伺服器並移轉虛擬化管理。
    (7)2024年1月 DNS 移轉第三方服務代管,避免DDoS癱瘓或是劫持等惡意攻擊。
    (8)2024年第四季啟動網路基礎設施汰換計劃,包含防火牆、邊際交換機及無線網路設備等項目。

•教育訓練
    (1)2023年7月完成第一次資訊安全暨電子郵件社交工程防治宣導課程共2小時,參與課程人數共 47人。
    (2)2023年11月完成第二次資訊安全暨電子郵件社交工程防治宣導課程共2小時,參與課程人數共 49人。
    (3)2024年10月完成資安防護觀念與社交工程防護實務之資安課程共2小時,參與課程人數共43人。

•其他投入資源
    (1)每日常態系統狀態巡檢
    (2)每週定期檢查備份計劃之執行狀況
    (3)每月定期伺服器設備健檢
    (4)每季定期不斷電系統設備檢查
    (5)資訊循環內部稽核
    (6)會計師稽核

•本公司已於 2024 年 11 月 05 日董事會報告修訂資通安全管理政策與程序及資訊安全管理現況及執行情形。

 

 

企業永續