為達成此政策制定相關資訊安全規範,提升資訊安全管理運作之有效性:
資訊管理中心各單位均建立相關資訊資產清單,並明定擁有者,依資訊資產等級差異,執行風險評鑑作業,針對高於可接受水準之風險應進行風險管理,以有效降低風險,並持續落實各項管控措施。
相關人員錄用應進行必要之考核並簽署相關作業規定文件,異動或離職時應歸還其資訊資產、新進與現任同仁均須參與資訊安全教育訓練,以提升資訊安全防護之認知觀念。
進出公司大樓及資訊安全管制區域,應落實相關門禁管控及物品攜出入規定。
嚴禁同仁私自架設網路設備,串接外部網路與公司內部網路,內外部網路均設置防火牆、非武裝區(DMZ)、及必要之安全設施保護之,重要設備應建置適當之備援或監控機制,維持其可用性。同仁之個人電腦應安裝防毒軟體,且定期確認病毒碼之更新,並禁止使用未經授權軟體。
同仁個人持有之帳號、密碼與權限應善盡保管與使用責任、管理人員應定期清查覆核,重要系統運作資料應定期備份並執行回復測試。
系統開發應於初始階段考量安控機制之建置、委外開發部分應強化控管及契約資訊安全之要求,評估系統的控管要求可採取必要之控管。
同仁遇有資訊安全事件,應立即通報,並配合權責部門共同解決。
同仁日常作業應落實確認覆核機制,維持資料準確性,主管人員應督導資訊安全遵行制度落實情況,強化同仁資訊安全認知及法令觀念。
本公司定期檢視資訊安全政策,以反映政府法令、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。
資訊安全管理具體方案
未來將規劃成立資安委員會,以統籌、管理、督導公司所有資安業務,並有專屬資安工程師專責處理資安工作、並定期進行弱點掃描、社交工程演練、防護系統有效性查核…等相關資安檢測,提供相關資安宣導及教育訓練課程,雖暫無購買資安險,但未來將透過資安委員會的運作及資安政策的執行,提供安全無虞的資安環境,保障公司各項服務的資訊安全。後續目標則是完備資安專家系統,以強化資安防護網,壯大資安聯防機制。目前已加入TWCERT(台灣電腦網路危機處理暨協調中心),未來也持續推動資安人才的擴充、相關培訓及認證工作的規劃,讓公司的資訊安全在人力、能力上更加完善,值得信賴。
祥碩在2017-2021年,未有任何與資安問題相關的罰款。在資安問題管理上,為防止供應鏈以及自身因為駭客入侵、資料外洩等問題,造成營運上的衝擊與資安風險,導入企業營運持續管理計畫(Business Continuity Planning, BCP),讓企業的風險管理更有效,除了提升應變能力,也減少事件發生時對於公司的營運衝擊,縮短復原時間以達到營運持續的目標。
例如:為避免供應商遭受駭客入侵導致無法營運,進而影響到祥碩無法如期出貨,已擬定並執行了以供應鏈中斷為主題的企業營運持續管理計畫(Business Continuity Planning, BCP)。
祥碩在營運持續管理方面,針對資訊安全部分除了既有的機房不斷電系統外,未來也將考慮建置獨立機房發電機或機房代管,以提升機房耐受性(Reliab ility);也評估各樓層網路機櫃增設不斷電系統、人員主力機由桌上型電腦改為筆記型電腦,以增加面對緊急危機的應變彈性。
疫情遠端連線資安管理
2020年開始受到疫情影響,國內外各大企業為營運持續,均採取分流上班工作模式,讓居家辦公的情形大為增加,而企業面臨此項全新工作模式,也產生了不同於以往的風險,像是員工居家辦公所進行的遠端連線作業,便使企業面臨了更大的資訊安全風險漏洞。根據《BCI地平線掃描報告》,未來對企業營運最具挑戰的威脅中,資通訊中斷與網路攻擊名列前兩名,其對企業所直接與間接造成的財物損失均相當可觀,資安風險在疫情期間實成為企業風險管理上必須更多加考量的優先事項。
祥碩為因應此項風險挑戰,針對遠端連線的資安問題制定相關管理措施,以期防範網路駭客的各式攻擊,降低營運中斷之可能性,進一步增加祥碩的組織韌性。我們在面對外部遠端連線的資安問題上,主要以行動動態密碼系統(Mobile One Time Passport, MOTP)作為居家辦公者開通虛擬私人網路(VPN)權限的首要條件,利用MOTP不斷更換的特性,有效解決帳號密碼被盜用的問題,提升祥碩在網路使用上的安全防護力;另外,我們針對VPN也設立安全性規則,建立防火牆以控制對內及對外流量,有效阻擋來自網際網路的惡意攻擊,同時落實祥碩所規範的資安政策。
針對疫情難以在短期內消失,並須與之共存的新常態(New Normal)下,祥碩科技已迅速作出應變調整,預計2022年將研擬防疫相關的營運持續計畫,加強避免居家辦公期間帶來的各項資安問題。未來也將持續落實相關遠距連線資安管理方案及措施,建立更強大的資安護城河,保護公司及員工的資訊安全,並強化祥碩的營運韌性,持續提升危機應變能力。
P25
無個資安全違規的事件。
請讀者注意
iThome鐵人賽
看影片追技術