- Day4:2022年版聯詠科技永續報告書
報告書下載網址
https://esg.novatek.com.tw/zh-tw/download
P4
取得ISO27001:2013資訊安全管理系統驗證與台灣智慧財產管理規範(TIPS)A級認證
P15
參與台灣資安主管聯盟
P49
風險議題 對營運的衝擊 風險管理機制與因應方式
資訊安全 未落實資訊系統安全操作造成風險 透過教育訓練與公告強化同仁資安意識、建立作業合規性與稽核方法
資訊安全 營運系統中斷造成損失,影響公司商譽與顧客信任度 定期進行資訊系統風險評鑑與營運衝擊分析,強化可用度架構
資訊安全 供應鏈的資安風險增加 調整連線架構與方式,建立供應鏈資安查核方法
資訊安全 居家上班和行動方案增加資安風險 規劃符合資安防護的居家上班與行動方案
資訊安全 駭客攻擊造成資料洩露與資訊系統服務中斷 落實資安風險行為監控與建立主動式防禦機制
從資安新創看聯詠科技資安
https://www.tips.org.tw/body?sno=BFCC
聯詠科技有個亮點,通過台灣智慧財產管理規範(TIPS)A級認證。經查詢TIPS網站,該認證大致和ISO9001相似,「組織應就所擁有智財進行分類、建立清單或資料庫,並定期更新且維持其紀錄。」也就是用資料庫或清單來管控智慧財產權。而我國營業秘密依類型不同,可細分為「商業性營業秘密」和「技術性營業秘密」兩種。
- 商業性營業秘密: 指業務、銷售上的資訊,如:客戶名單、成本結構、交易底價、人事管理等。
- 技術性營業秘密: 指商品或服務創新研發的知識,如:製程、配方、技術、know-how等。
可見聯詠內部是有一台伺服器主機在存放智慧財產權文件的,只要能打進去這台主機,就可以得到列管的智慧財產權。
藍隊(防守方)
依110年8月23日頒布之「資通安全責任等級分級辦法」修正條文明定如下:
資通安全責任等級A級與B級之公務機關:
- 初次受核定或等級變更後之二年內,完成端點偵測及應變機制導入作業,並持續維運及依主管機關指定之方式提交偵測資料。
- 本辦法中華民國一百十年八月二十三日修正施行前已受核定者,應於修正施行後二年內,完成端點偵測及應變機制導入作業,並持續維運及依主管機關指定之方式提交偵測資料。
藍隊可以建置端點偵測及應變機制(EDR)、(MDR)、(XDR),並且使用Nessus、NMAP和紅隊一樣掃描各伺服器和個人電腦,以便早期發現漏洞並加以修補。
請讀者注意
本系列中所提到的永續報告書均為公開資訊,本系列引用的目的僅為學術教育,讓更多的利害關係人能夠讀懂企業欲揭露的永續報告書。本系列不對於永續報告書內容做修飾,僅忠實的呈現。本系列僅為了介紹資安觀念而在引明出處的方式為讀者介紹這些框架,其最新版本的修正還是要以該組織發布為準。
本系列中提到的紅隊攻擊手法和「從新創看資安」,裡面所提到的攻擊,無論是POC(概念驗證)或是工具介紹,紅隊都是指有和企業簽約,在取得許可下協助做安全測試的資安成員,其不會造成企業實質損失,僅止於讓企業了解自身環境、設定、程式碼等環節的資安精進。