P37
公司已建立全面的網路與電腦相關資安防護措施,但無法保證其控管或維持公司製造營運及會計等重要企業功能之電腦系統,能完全避免來自任何第三方癱瘓系統的網路攻擊。為了預防及降低此類攻擊所造成的傷害,公司積極規劃、建置資訊安全措施,並以以下三項措施作為,持續改善資訊安全環境,降低資訊安全風險:
制度規範 就政策制度、組織職責、人力安全、文件管控、資產管理、通訊與作業管理、存取控制、實體環境、系統開發與維護、營運持續管理、安全事件管理、法規遵循等方面制訂相關規範。
系統防護 建置網路防火牆、閘道式網路偵測設備、導入Security Rating Service、端點偵測防護、安全資訊與事件管理、郵件安全、作業系統自動偵測更新、病毒防護、網路准入、社交工程演練及弱點掃描系統等,多方推動各項資安管理措施。每年定期對公司組織、人員進行資訊安全管理稽核,並呈報董事長,以控制並降低資安風險。
人員訓練 定期實施新進人員資安教育訓練課程;透過定期資安教育訓練、海報/影片宣導,提升在職員工資安知識並強化資安意識,確保資安觀念融入日常作業,並藉由矯正預防流程,即時修正發現問題,以降低員工洩漏集團及客戶機密資訊風險。發生資安事件時,立即依循資通安全通報程序進行資安通報,為公司生產經營活動提供資訊安全保障。
為保護公司產品與服務,避免有未經授權之存取、修改、使用及揭露,以及天然災害所引起之損失,並適時提供完整與可用之資訊,可成致力於資訊安全管理,以確保公司重要資訊財產之機密性、完整性及可用性,並符合相關法令法規之要求,進而獲得客戶信賴、達到對股東的承諾,保證公司重要業務持續運作。
P38
資訊安全政策與承諾
全員參與、提升資安意識 積極預防、落實資安管理 客戶信賴、確保永續經營
透過全員認知,達成資訊安全人人有責的共識 建置各項資安技術,導入資訊安全管理制度,以PDCA手法持續改進。 提供安全及受客戶信賴之生產環境,確保公司業務之永續營運。
2022年資訊安全管理推動成果
完善資安管理制度 1.2022年10月取得ISO/IEC 27001:2013 外部認證,並持續維持 ISO/IEC 27001 證書有效性
2.2022年累計召開60次資訊安全管理會議及一次管理審查會議,共計修訂35份資訊安全管理體系文件
3.定期執行風險評鑑並針對高風險項目擬定改善計劃,2022年高風險項目改善完成率達97%
強化資安防護行為 1.端點防護主動發現5,385筆風險,資安惡意程式分析共614件
2.成功偵測及攔阻超過716萬次以上外部攻擊、38.9萬封以上垃圾郵件
3.針對關鍵系統進行3次營運持續演練,持續強化營運應變能力
4.每年2次系統、網站弱點掃描並針對弱點持續改善
5.執行83次安全更新,累計更新1,868台設備漏洞修補
提升員工資安素養 1.2022年累計向公司同仁發出資安宣導,共計超過6.9萬人次
2.針對新進員工落實資訊安全教育訓練,2022年執行率100%
3.2022年度共計進行4次社交工程演練,年平均點擊率6.3%
2022年台灣廠區資訊安全教育訓練成果
(1) ISO 27001系列教育訓練
(2) 供應商資安管理教育訓練
(3) 風險評鑑教育訓練
(4) 業務營運持續教育訓練
(5) 新進人員資安教育訓練
(6) 社交工程釣魚郵件教育訓練
(7) 資安認知教育訓練
訓練總時數1,388.8時
宣導涵蓋率100%
P45
資訊安全
取得ISO 27001資訊安全管理系統驗證,導入必要資安防護及監控管理措施,提升資安防護能力,保護並防止客戶及公司資料外洩風險。
請讀者注意
iThome鐵人賽
看影片追技術