圖 13 1欣興電子資安組織圖
P25
ESG 績效與目標
重大主題 營運重要性 關鍵績效指標
資訊安全 保護客戶資訊安全與欣興電子營業秘密,落實資安風險管理,避免可能的資訊洩露,對營運之衝擊。 重大資安事件
2022 年目標 0件
2022實際 0件
2023短期2026中期目標 0件
P27
利害關係人(ESG) 新興電子回應
客戶要求
客戶資安評鑑(不定期) 透過產業交流與分享,強化企業內部自身保護機制盲點,提升資安評資水平至客戶要求
政府要求
資訊安全 於2022 年第二季設立資安長及資安專責單位,及至少2 名資安專責人員
P35
風險管理與資訊安全
營運持續暨風險管理
為因應各種可能造成重大營運衝擊之風險,展現企業營運能力及追求公司永續經營,欣興電子於2021 年成立「營運持續暨風險管理委員會」負責綜理營運持續與風險管理有關事務運作,每年定期向董事會報告一次。為有效地預防與控制企業風險,訂有董事會核定之「營運持續暨風險管理政策」,以及14 份相關作業辦法,依部門權責對應與處理相關風險,定期執行風險評估、風險緩解及定期追蹤檢討,擬定並採取相應的風險管理方案,以提升企業永續經營之韌性。
P36
資訊安全
重大主題資訊安全
政策 •「資訊安全政策」
承諾 •致力於欣興電子ESG治理策略,提升客戶滿意與信任,穩固公司永續發展根基
責任單位 •資訊安全委員會
投入資源 •透過資安雙週會議,進行跨部門合作,並持續檢視執行成果
申訴機制 •各資訊安全委員會代表
2022年目標 •重大資安事件數:0件
行動方案 •關鍵供應鏈資訊通訊安全強化,推廣關鍵供應鏈郵件通訊加密(TLS)
2022年實際績效 •重大資安事件數:0件
資訊安全委員會
欣興電子設有「資訊安全委員會」管理公司層級的資訊保護機制,並於2022 年設立資安長(CISO)及資安專職單位,主導雙周資訊安全會議,透過PDCA 滾動式檢視使運作更臻完善,包含內部資安宣導及演練、資產盤點與分類,及資料存取管控與資安預警等機制,定期向董事長及事業處高階主管提供資安報告,並
取得國際資訊安全驗證,以降低資訊安全風險,保障客戶隱私。
圖 13 2欣興電子資安委員會組織圖
企業資安組 • 主持資安會議
• 資安政策制度擬定決議執行
資通訊 • 系統及技術管制解決方案評估
• 資安系統維運與權限對應調整
人資 • 教育訓練排定與宣導作業
• 人事規章指引及獎懲作業
稽核 • 資安政策實施效果評鑑,並持續評估有效性
• 資安事件舉報與處置
法務 • 法規類別資安議題主導
• 法律條文釋法與諮詢
智權 • 營業秘密與專利資產審查與協助價值判定
• 營業秘密與專利註冊系統申請,審核與維護
事業群資安窗口 • 推展資安政策至事業部,並追蹤
• 回報事業部意見,為事業部與委員會間溝通橋樑
• 反應及回報事業部資安事件
P37
資安具體管理方案
為保障客戶知識產權及企業機密文件,除透過完善的「資訊安全政策」及每年ISO / IEC 27001 資訊安全管理系統驗證外,欣興電子以風險評鑑、終端電腦管理、資訊機房管理、防毒防駭管理、教育訓練,及系統及網路安全管理等六大面向發展相關具體管理方案,妥善維護客戶資料及資訊安全。
針對疫情期間,將郵件應用推展至雲端服務,並搭配虛擬化桌面以支援疫情時期遠端辦公的作業韌性,同時建置網頁應用程式防火牆(WAF),針對集團外部網站進行資訊安全漏洞的主動防護。因應微軟IE 瀏覽器的全面終止支援,進行內部各項系統的相容性修正,並同時搭配威脅偵測應變服務(MDR),來強化欣興電子整體資訊安全防護並減緩風險。
風險評鑑 方法:藉由全公司雙周資安委員會會議及每年ISO 27001 資訊安全管理系統運作,對現有系統或流程資安問題風險做討論及決議緩解方式或因應措施,並搭配資安雙月報呈核
成果:建置網頁應用程式防火牆(WAF)、廠區機台風險定義與強化、因應IE 平台淘汰而修正各系統相容性、上游供應鏈郵件加密推廣、強化智能事務機浮水印之識別性、逐步汰換用戶端作業系統等
教育訓練 透過實體與數位E 化課程,定期對員工進行「資訊安全」、「營業秘密保護」、「專利著作保護」3 項課程教育訓練及檢定,建立員工對機敏資料的保護意識,同時每年實施營業秘密資料盤點與分級管理,保護公司及客戶資料
系統、網路安全管理 每年定期依據「上市上櫃公司資安管控指引」及客戶要求之檢測頻率進行12 次系統弱點掃描及漏洞修補
終端電腦管理 利用威脅偵測應變服務(MDR),建立起進階持續性威脅偵測機制,快速偵測系統資安異常行為
資訊機房管理
運用以下系統相互支援,建構安全的實體機房環境,保護系統及客戶資料安全:
門禁系統:管控機房出入口,僅讓有權限之員工通行,同時保留進出紀錄,
並逐步結合人臉辨識系統
CCTV 系統:24 小時全時全區域錄影監控機房,並透過感測機制,當發生有異常入侵時,可自動告警
環境控制系統:24 小時全時監控機房環境(溫度、濕度、電力)
防毒防駭管理 強化機台防護:導入機台無毒證明管理機制,機台進機廠商檢附無毒證明,並由欣興電子檢測無毒後才能連網,及定期對機台進行掃毒稽核網路防火牆及駭客入侵偵測防禦系統:對外部威脅進行偵測、阻斷及告警,並借助外部資安組織專業,提供資訊安全監控中心服務,24 小時分析資安事件
2022 年資訊安全管理成果
供應鏈資安管理 要求關鍵供應商,設立郵件防偽冒(SPF)與郵件通訊加密(TLS),以確保資料交換無虞。並透過不同第三方資訊安全稽核平台,厚實組織防禦深度,集團評分於各平台均超出產業標準與關鍵客戶要求資安監控中心(SOC)建立
2022 年完成欣興電子台灣地區資訊安全監控中心(SOC)服務建置,以強化資安事件反應速度
廠機台風險定義與強化 將台灣各廠生產機台依防護力與復原力,分為A、B、C、D 等四個風險等級,已減緩360 台高風險(A 級)機台,並於2023 年持續進行改善
內部資安宣導與演練 除定期對同仁進行資安宣導及測驗,2022 年實施4 次公告宣導,並進行9 次全公司無預警的社交攻擊演練(釣魚郵件),以及搭配每年第四季辦理1 次全公司E - Learning 資安課程訓練,藉以加深同仁的資安意識
社交攻擊演練 受測對象 測試結果 資安意識強化措施
首測
有電子郵件帳號之同仁 開啟惡意連結並輸入帳密:0.6%(2021年2.2%,2020 年3.1%) 測試未通過之同仁已進行二次宣導,及安排測驗
再測 首測未通過之同仁(217 人) 開啟惡意連結並輸入帳密:4 人未通過 由其主管個別教育訓練
P38
課程名稱
對象 應訓人數 已訓人數 受訓比例(%) 時數
資訊安全宣導 5 職等(含)以上台灣及派駐大陸地區之台籍同仁(含DL) 4,561 4,559 99.96 1小時
營業秘密的法律與倫理講析 1小時
營業秘密進階課程 1小時
智慧財產權概念 1小時
資安事件通報流程
事件發生 當發生資訊安全事件時,員工應依據「欣興電子資訊安全事件通
報處理管理程序」立即通報單位主管
通報作業 • 由單位主管回報資訊安全官
• 由資訊安全官依據內部作業辦法將資訊安全事件判別是否屬重
大異常事件、是否為洩密事件、及是否涉及一級主管,分級分類
洩密問題處理 通報各該層級主管及權責單位;若屬重大異常事件,則必須陳報至相關廠/部一級主管、事業處總經理、資安長與執行總經理;如為重大異常且疑洩密事件,應增通報人力資源處與稽核室
資訊安全事件處理 若洩密屬實,則由法務/人資單位依法或公司規定處理
結案 安全事件等級3 級(含)以上需填寫「資訊異常事件報告書」呈報至資訊安全官以上
資訊安全事件統計
說明 單位 2019 2020 2021 2022
重大資訊安全事件 件數 0 1 0 0
涉及客戶隱私之違規事件 件數 0 0 0 0
因資訊洩露致受影響的客戶數量 客戶數 0 0 0 0
因資訊安全事件而支付的罰款/罰金 元 0 0 0 0
資訊安全亮點專案
因應外部攻擊逐漸複雜化,欣興電子在資訊安全防護上,採用縱深防禦概念,藉由佈署防火牆、郵件過濾、端點安全防護、多重要素驗證(MFA)等防護機制,來保護資訊資產,並同時藉由外部第三方的資安檢測平台,作為衡量資訊安全成熟度的客觀依據。
2022 年導入資訊安全監控中心(SOC)機制,以強化各資訊環節的可視性,並加速資訊安全事件反應速度,並藉由定期的審查來調整資訊安全架構,以符合持續營運與監管單位之要求。
2022 年資安強化措施
2022 年未發生重大資訊安全事件,為持續提升公司整體資安能力,已完成如下構面強化措施:
流量管控:強化內外部跨廠間防火牆,及異常流量偵測分析能力,落實端點電腦(endpoint)資料輸出紀錄查核
帳號管控:強化多因子驗證及跳板主機之授權控管
備份優化:資料備份及快速復原架構改善
治理政策:強化弱點掃描、24H 服務與資安監控(SOC)、移動式儲存媒體(USB)管理、手持移動照相裝置管理、資訊分級保密制度、列印機敏字控管、員工資安訓練及滲透釣魚演練等
投入資安管理資源:設置資安長與資安專責組織、加入資安情資分享組織-台灣電腦網路危機處理暨協調中心(TWCERT)
P47
基礎建設期-智慧製造Golden fab 建置、大數據平台
隨著工廠數量持續擴展,因應跨廠區協同服務、大數據應用等需求,為確保維運系統穩定、效率、安全(資安),啟動進行硬體升級、MES、資訊安全、數據治理(data governance)等等基礎工程優化。同時也見到資料正規化、資料分享的好處,例如透過基礎建置與打破「資料孤島」限制,將多元資料的整合,提供工程師數據分析服務平台,協助快速解析異常原因,5 分鐘內即可完成,解決工程師分析的困擾與限制,同時也降低生產效率與品質的衝擊。
請讀者注意
iThome鐵人賽
看影片追技術