詢價3.4 資訊安全
▉ 資訊安全組織
.png)
▉ 資訊安全組織職掌與管理措施
為強化公司治理並應對日益嚴峻的資安挑戰,本公司已建立全面的資訊安全管理架構,以確保營運持續性並降低潛在風險。
- 治理架構與權責
本公司於2022年3月8日正式通過公司治理主管的編制,並成立了「公司治理暨ESG永續發展委員會」。在此委員會的風險管理小組之下,設立了「資訊安全管理小組」,由資訊主管擔任召集人,全權負責統籌資訊安全相關政策的制定、執行、風險評估及遵循度查核。為確保最高管理層的監督,公司治理主管每年會將資訊安全的管理成效、重大議題及未來發展方向,向審計委員會及董事會進行專案彙報。
- 組織與資源投入
資訊安全的日常維運與執行工作,由總公司及所有海外子公司的資訊部門成員共同分擔。公司承諾投入充足資源,每年皆會根據最新的資安威脅情勢與防護需求,編列專門預算,以確保防護措施的與時俱進。
- 政策目標與實踐
本公司的資訊安全政策核心目標在於確保核心資訊系統與數位資產的機密性(Confidentiality)、完整性(Integrity)與可用性(Availability)。我們致力於防範任何資通安全事件對公司營運造成衝擊,從而將營運風險降至最低。為落實此目標,台灣總部與海外子公司的資訊單位會定期召開會議,共同檢視現行資安政策的適用性,並評估各項保護措施的成效,進行持續性的改善。
- 風險評估與因應措施
本公司已建置了涵蓋網路、系統與端點的全面資安防護措施。然而,我們認知到,沒有任何系統能百分之百免於所有威脅。儘管現有控管機制旨在保護製造、營運及會計等核心企業功能,但仍無法完全保證能抵禦來自第三方任何形式的癱瘓性網路攻擊。對此,本公司採取積極的因應策略,透過持續性的內部檢視與外部評估,不斷審視現有資訊安全防護機制的妥適性與有效性,以動態調整防禦策略,盡最大努力確保企業營運的安全與穩定。同時,本公司亦訂立資安事件通報標準流程,若發生資安事件將由資訊安全管理小組擔任通報窗口,且需於目標處理時間內排除及解決資訊安全事件,並在事件處理完畢後進行檢討與分析並提出改正措施,以預防事件重複發生。
▉ 資訊安全管理政策
為確保本組織資訊資產之機密性、完整性與可用性,並保障業務永續運作,特制訂本資訊安全管理政策,作為全體人員遵循之圭臬。本政策旨在建立一個全面、主動且持續改進的資訊安全管理系統(ISMS),以有效應對內外部資安威脅與挑戰。
▉ 2024年度資通安全管理資源投入與執行成果彙報
為確保本公司資訊資產之機密性、完整性與可用性,並建構一個具備高度韌性與防禦能力的資安環境,本年度持續投入多層次資源,其具體執行成果分述如下:
- 基礎設施與防禦技術部署
為鞏固資安防線,本公司已部署並維運下列關鍵硬體設施與軟體防護系統:
- 硬體設施
‧網路邊界防護:透過部署高效能防火牆(Firewall) 監控並過濾內外部網路流量,並建置VPN 設備以確保遠端連線之加密與安全。
‧核心網路穩定性:採用具安全管理功能之交換機(Switch),並透過多重線路設計提升網路可用性。關鍵伺服器(Server) 與網路設備均配置不斷電系統(UPS),確保營運持續性。
‧資料儲存與保全:導入網路附加儲存(NAS) 系統,進行集中化的資料儲存與保護。
- 軟體系統
‧威脅防禦與過濾:於全體端點部署防毒軟體(Antivirus),並結合垃圾郵件過濾(Spam Filtering) 機制,有效阻擋惡意程式與郵件威脅。
‧資料保護與還原:透過專業備份軟體(Backup Software) 制定並執行定期備份計畫,確保資料在災難事件後的可恢復性。
‧系統效能優化:導入伺服器虛擬化(Server Virtualization) 技術,提升硬體資源使用效率,並強化系統部署與災難復原之彈性。
▉ 資通安全治理與政策框架
本公司參照國際標準與主管機關法規,建立並持續精進資通安全管理制度:
‧管理制度依據:依循ISO 27001 國際資安管理標準之精神,訂定並全面施行內部《資通安全管理辦法》,作為所有資安作業之最高準則。
‧風險導向管理:建立並推行資產價值與資訊風險評估辦法,透過系統性的手法,鑑別、分析並評估組織面臨的資安風險。
‧備份備援機制優化:依據資產價值與風險評估之結果,滾動式修訂備份與備援管理機制,確保關鍵業務在面臨資安風險時,能將營運衝擊降至最低。
‧法規遵循與政策更新:於2024 年10 月,為響應並遵循政府最新發布之資通安全管控指引,已重新審視並修訂本公司整體資通安全管理政策與相關程序。
▉ 人員安全意識與專業職能提升
為確保資安政策能有效落地,本公司致力於提升全體同仁之資安意識及專責人員之專業技能,2024年度訓練成果如下:
▉ 常態性維運與稽核檢驗
為確保各項資安管控措施之有效性與持續性,本公司落實以下常態性維運與內外部稽核作業:
- 日常維運檢視:
‧每日執行系統狀態巡檢,即時監控服務運行狀態。
‧每週定期審查備份計畫之執行狀況,確保備份完整性。
- 週期性設備維護:
‧每月對核心伺服器設備進行健康檢查。
‧每季執行不斷電系統之功能測試與檢查。
- 獨立性稽核:
‧內部稽核:定期執行資訊循環內部控制查核作業。
‧外部稽核:接受會計師事務所對資通安全相關控制點之獨立查核,以客觀角度驗證本公司資安管理之成效。
本公司已於2024 年11 月05 日董事會報告新訂資通安全管理政策與程序、資訊安全管理現況及執行情形。