P30
重大主題 社會面向:客戶隱私與資訊安全
管理機制 資安管理委員會推動ISO 27001管理系統,建立符合國際標準的管理程序,規劃、執行及檢討內部的資安活動,驗證各項活動及其相關結果,以符合資訊安全管理系統之目標要求。
P53
資訊安全管理
COVID-19疫情期間,新興技術層出不窮,並塑造出全新的工作場域,但這也為資訊管理及產品安全帶來前所未有的挑戰。為應對日益嚴峻的挑戰及強化企業永續經營,群光電子成立設置「資訊安全管理委員會」,由資訊長(CIO)擔任召集人,委員會成員由各單位主管組成,資安人員計35人。資安管理委員會於2017年即推動ISO 27001 管理系統,建立符合國際標準的管理程序,規劃、執行及檢討內部的資安活動,驗證各項活動及其相關結果,以符合資訊安全管理系統之目標要求,目前已取得之證書有效迄日為 2023年7月19日。
圖 15 1 群光電子資安組織圖
資安管理小組任務 企業資安治理、策略規劃、制度設計、企業架構安全、流程風險管理、第三方管理、制度溝通與宣導
網路小組任務 系統安全監控、弱點研究、技術檢測、資料分析、外部威脅情資蒐集、資安威脅警訊
應用系統小組任務 資料安全、AP開發安全、產品漏洞修補、職能權限設計、商業邏輯安全設計、智財與營業秘密管理
災難復原小組任務 緊急應變、數位證據保全、數位證據分析
資料中心小組任務 網路安全、系統安全、實體安全
資安單位及資安長的法源:上市上櫃公司資通安全管控指引
第二章資通安全政策及推動組織
第三條、成立資通安全推動組織,組織配置適當之人力、物力與財力資源,並指派適當人員擔任資安專責主管及資安專責人員,以負責推動、協調監督及審查資通安全管理事項。
資訊安全管理委員會定期召開會議檢討及執行情形(2022年度相關會議開會次數計約100次),並向董事會報告執行情形與檢討(已於2022年11月03日提報董事會)。投入資訊安全與產品安全的完整規劃與推動,並將群光電子的資訊安全政策作為組織資安願景,成為我們集團子公司、供應商、供應鏈合作夥伴之強力奧援。
資通安全管理作為
建立居家辦公安全機制 ●建立定期盤點資訊資產清單,依資安風險評鑑進行風險管理,落實各項管控措施。
●強化員工遠距在家辦公的資訊系統服務與網路安全連線安全性。
●有申請使用電腦資料簽核權限辦法,防止電腦資料被不當存取及使用。
持續提升員工資安素養 ● 舉行一年兩次的資安教育訓練、年度社交工程演練,經由電子郵件、網站公佈欄,進行資通安全防護和時事案例宣導,新進人員皆須簽定資訊保密協定。
● 個人電腦應安裝防毒軟體且定期確認病毒碼之更新,並禁止使用未經授權軟體。
資安防護演練 ● 重要資訊系統或設備應建置適當之備援或監控機制並定期演練,維持其可用性。
● 同仁帳號、密碼與權限應善盡保管與使用責任並定期置換。
異地備援切換演練 為提升應用系統安全與降低風險,每年定期執行弱點掃描並對中高風險的弱點進行修補,並已導入MDR威脅偵測應變系統,降低機密或敏感性資料異常事件的發生,以及針對電子郵件進行過濾,持續強化資通安全管理機制。
群光電子資訊安全政策
一、 持續改善以PDCA(Plan/Do/Check/Act)之方法論建置與維護資訊安全管理制度,持續改善並維持管理系統的有效性。
二、 資源提供為確保資訊安全管理系統之落實,應具備相關必要資源,並適當分配權責。
三、 確保本公司資訊之機密性、完整性及可用性保護公司資訊,降低各項資訊安全威脅風險,並將可能發生的損害減至最低。
四、 遵守法令法規本公司資訊安全管理政策與制度必須遵守政府及主管機關相關法令、法規之規定。
資通安全目標
短期目標 每年執行弱點掃瞄及系統的滲透測試。
每年執行郵件社交工程的演練。
每年通過ISO27001資訊安全管理系統外部認證。
每年執行員工資通安全教育訓練。
目標達成狀況 己完成每年執行弱點掃瞄。
已完成年度員工社交工程郵件演練測試。
已通過外部 ISO 27001 稽核認證。
共舉辦2場資通安全線上教育訓練課程。
中長期目標 持續強化本公司之資通安全,確保資訊的機密性、完整性、可用性與遵循性,以保障本公司客戶、股東、員工及供應商之權益。
圖 15 2 利害關係人資安要求
請讀者注意
iThome鐵人賽
看影片追技術