iT邦幫忙

2022 iThome 鐵人賽

DAY 7
2
Security

從公開發行公司股東會年報分析公發公司資安揭露情形系列 第 7

Day7 股東會年報案例分析6--帝寶(6605) (產業別:上市,汽車工業)

  • 分享至 

  • xImage
  •  

《前言》

帝寶工業,是臺灣汽車售後服務車燈生產製造大廠,主要生產各式汽車車燈及汽車零件,銷售市場包括臺灣、美洲與亞洲。該公司的研發方向從近年從雷射光源、眩光遠燈、塑膠透鏡等技術等,朝向OLED尾燈、ADB頭燈的研發。


我們先簡單的看過兩項揭露的狀況:(筆者覺得重要的部分)

(一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

1.資通安全風險管理架構
(1)資訊安全組織

https://ithelp.ithome.com.tw/upload/images/20220922/20107482sAPfazBeD5.png

總經理室資訊組,統籌資訊安全及保護相關政策制定、執行、風險管理與遵循勤業眾信聯合會計師事務所年度查核

2.資通安全政策
(1)配合稽核單位,落實企業內控安全。
(2)勤業眾信聯合會計師事務所每年實施查核,確保企業資訊作業安全。
(3)擬定資安入侵危害辦法。
(4)定期檢討及執行包含資訊安全措施、教育訓練及宣導等改善作為。

3.具體管理方案
(1)強化資訊安全防護
A.評估MDR軟體,可即時偵測端點威脅,防範勒索病毒危害。
B.終端電腦安裝防毒軟體確保個人裝置安全。
C.強化網路防火牆與網路控管,以防止電腦病毒入侵擴散。
**(2)資料安全保護:**透過備份備援軟體,針對重要應用伺服器執行定期備份備援工作,並不定期還原測試,確保公司系統安全。
(3)教育訓練及宣導

4.投入資通安全管理之資源
持續投入資源於資訊安全領域,包括如下:
(1)評估 MDR 軟體,即時監測及告警,預防勒索病毒危害。
(2)備份軟體及儲存設備持續採購規劃。以強化資訊防禦及備份設備,資安事件演練應變與教育訓練等,全面提升資訊安全。

(二)列明最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。

1.本公司於民國 110 年 10 月受到勒索病毒感染,影響部分工廠廠區伺服器系統,導致產品入出庫短暫受波及。
2.此次勒索病毒感染的原因為外部網路設備遭受勒索病毒攻擊所致。當發現勒索病毒攻擊後,立即檢視本公司防火牆紀錄,採取阻斷網路措施,有效防止病毒擴散。
3.相關電腦設備系統,經與協力廠商緊急救援,並於最短時間內將系統復原,此次勒索病毒感染並未造成影響公司營運之嚴重災情。
4.本公司已採取改善措施,強化網路防火牆與網路控管以防止電腦病毒跨廠區擴散;並進一步改善本公司惡意軟體防護及強化系統資料備份安全。

《分析》:

帝寶工業對於公司重大資安事件的敘述,算是比較詳細的案例,其中包括公司何時?何地?以及如何處理,並在內容中說明了損害情況,以及後續會採取的改善措施,整體來說,只差量化數據,例如:該事件在公司的資安風險等級是屬於哪一級的?或者從各種分析裡面,總結出需要強化的部分。筆者在過去的文章中也對於量化分析有說明過,故在此不再重覆。

近年來,其實也有像微軟的POWER BI等等視覺化軟體的應用出現,如果在股東會年報上資安的部分,能夠以下面微軟POWER BI的形式(舉例)呈現,便能一目了然或者更加深股東對公司資安實施狀況的了解。

https://ithelp.ithome.com.tw/upload/images/20220922/20107482WZfm6UNU0v.png
(Power BI示意圖,與資安無關)

另外,在具體管理方案裡面,帝寶有使用MDR偵測軟體,MDR即偵測及處理代管(Managed Detection Response,MDR),該軟體主要是透過資安委外服務的方式,運用機器學習、大數據分析、威脅情資與相應的偵測與反應技術,來幫助企業做到事中偵測與資安事件處理。有關MDR的詳細報導可以參考iThome的新聞報導:https://www.ithome.com.tw/tech/124793 ),所以既然帝寶工業已經導入MDR系統,理論上要進行量化分析應該也不是太困難的問題。

此外,在資安政策上,帝寶公司就是配合會計師事務所,將資安政策配合稽核單位,將制度落實,目前全球型大型會計師事務所都有相關的資安組在協助產業導入國際化的資安政策,這樣的做法,就比較能夠讓公司內控跟國際接軌,同時也能協助內部稽核單位作資安的內稽,整體來說,是合乎內控三道防線的觀點的。


上一篇
Day6 股東會年報案例分析5--技嘉(2376) (產業別:上市,電腦及週邊設備業)
下一篇
Day8 股東會年報案例分析7--中鴻(2014) (產業別:上市,鋼鐵工業)
系列文
從公開發行公司股東會年報分析公發公司資安揭露情形30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言