圖 12 1 微星科技資安部門組織圖
P12
社交工程演練
2022 年度完成全體員工之社交工程演練,並針對有點擊釣魚信件之員工舉辦實
體或線上教育訓練,教育訓練完成率96.6% 將持續進行員工宣導與教育。
網站滲透測試
有鑑於近年來各大企業有數起資安危害事件,微星特別針對網站進行弱點掃描
與滲透測試,總計兩階段測試後,已將各弱點或風險處修正改善。
2023/4/7 駭客事件說明
微星部分資訊系統於2023 年4 月初遭受駭客網路攻擊,資訊部門自偵測到網路異常後於第一時間啟動相關防禦機制與進行復原,並通報政府執法部門與資安單位,受影響之系統於一日內恢復正常運作,對財務、業務無重大影響。相關新聞說明請參見微星官網- 最新新聞: https://tw.msi.com/news
產品開發、製造與售後之資訊安全保護
微星產品符合歐盟無線設備指令(RED),其中為滿足避免無線電頻譜造成之干擾,以及未來產品可能之資訊外流風險,我們部分NB 產品會進行符合CE 認證之測試。此外,微星秉持嚴肅的態度來看待產品安全問題,我們會盡最大努力來快速評估並解決問題。一旦收到安全問題回報,微星科技會投入合適的資源進行分析、驗證並提供解決方案。我們非常歡迎並鼓勵開發人員和高階使用者向微星產品安全事件回報小組 (MSI PSIRT) 揭露微星科技產品中任何潛在或確認的安全漏洞,微星內部在收到問題回報後,將於3 個工作天內提供追蹤流水號給回報者,並於
30 天內將問題指派相關單位,90 天內提供解決方案或相關說明。
P13
企業持續營運(Business Continuity Planning, BCP) 管理
BCP 設置的目的是為了減少公司重大突發緊急事件發生之衝擊,縮短停止提供
服務之可接受度,以減少營運損失、維護公司聲譽、提升客戶滿意度、保護員
工與危機溝通 ; 透過BCP 演練,可檢視微星緊急應變計畫與事件發生時應變的
執行力,並評估緊急應變計畫是否完善與應變能力的強弱及滿足下列效益:
◆ 保護公司商譽與投資人權益。
◆ 降低無預警的資訊與通訊中斷事件,確保營運正常。
◆ 創造良善的職場環境,減少環境與作業危害事件發生機率。
◆ 建立反應快速的產業供應鏈管理,增加市場競爭力。
教育訓練
道德與誠信宣導除新進員工需完成教育訓練課程外,我們亦於內部網站、合約
文件進行宣導與聲明,也不定期透過電子郵件對員工進行說明與釋疑,宣導對
象擴及整個微星集團,內容包含資安保護、智慧財產保護、反貪腐、責任礦產、
環境保護、隱私、杜絕打擊報復等項目,使同仁了解工作中應注意的道德準則
與公司落實零容忍政策。
P24
顧客隱私權維護
保護顧客個資與隱私是微星的服務基本原則,關於個資與隱私權的維護、蒐集、
保密等,我們依個人資料保護法及相關法令規定,並在保護個人隱私的原則下
有限度的運用與提供應知的權益,合法處理顧客同意之個資,進而使顧客安心
使用微星所提供的產品與服務。請參閱微星科技的隱私權政策 https://www.
msi.com/page/privacy-policy 以了解我們如何蒐集使用及處理相關個人資料
詳情。報告期間沒有發生違反客戶隱私權或個人資料外洩,造成客戶權益受損
之事件,未來仍將努力依據高標準維護顧客隱私。
顧客隱私
微星為確保顧客機密資訊保存,在提供產品維修與服務使用過程前,會與客戶
進行下列資訊確認:
✓電腦資料備份( 包含但不限於帳密、照片與音樂等)
✓提醒資料遺失風險
✓微星隱私權政策、服務使用條款與應遵守事項
✓由顧客自行決定是否使用微星的產品與服務
組織管理 設有個資保護小組,推動個資保護及作業執行等工作。
設有資料保護官,專責公司資通安全運作。
總部持續通過ISO 27001 資訊安全管理系統驗證,推動公司營運之資安管理。
政策管理 制定及頒行個資保護政策及規範,公告於公司網站,每年依法遵及發現之風險議題進行審視並修訂。
因應個資法,提供消費者查詢、閱覽其個人資料請求停止行銷訊息之權利、刪除其個人資料等保護功能。
程序管理 建制內/ 外部隱私權、Cookie、資料保存/ 安全政策。
內部資料處理程序。
資料傳輸協議與紀錄。
資料外洩事件評估及通報程序。
個資當事人權利行使程序。
人員管理 顧客基本資料列為「機密」文件,所有個資均規劃專處存放,且員工不得任意存取。
從業人員100% 接受個資保護教育訓練。
委外業務之受託機構須簽署相關保密協議。
請讀者注意
iThome鐵人賽
看影片追技術