P16
重大議題
面向 重大議題 對致茂的意義
社會面 客戶隱私與資訊安全 致茂電子身為精密量測儀器設備研發大廠,致力於透過創新科技及與關鍵夥伴的緊密合作來深化資訊安全架構、保護本公司重要資訊資產與客戶資料安全。面對日益嚴峻的資安威脅,透過ISO 27001資訊安全驗證,透過規劃 - 執行 - 檢查 - 改善(PDCA)的概念模型來實現改進的循環過程。
P21
永續治理
面向 公司治理
中長期目標 持續打造誠信廉潔為公司文化核心價值,公司所有員工、經理人均能秉持誠信從事業務活動。
持續以零違反誠信與貪腐情事發生為目標。
強化公司治理,擴大營收與獲利
實現董事成員多元化,2023年預計選任一席女性董事
依據資安管理技術的辨識、保護、偵測、回應與復原五大構面,搭配各種資訊安全管理方案與流程,進一步提升資安防禦水準。
P30資訊安全管理 GRI 418-1
致茂電子身為精密量測儀器設備研發大廠,致力於透過創新科技及與關鍵夥伴的緊密合作來深化資訊安全架構、保護本公司重要資訊資產與客戶資料安全。面對日益嚴峻的資安威脅,我們於2022 年1 月取得ISO 27001 資訊安全認證,透過規劃 - 執行 - 檢查 - 改善(PDCA)的概念模型來實現改進的循環過程。
2.4.1 資訊安全管理架構
致茂電子為提升集團安全管理,成立資訊安全管理辦公室,統籌資訊安全政策推動與資源調度事務,以進行資訊安全制度之規劃、監控及執行資訊安全管理作業。資訊安全管理辦公室由資訊安全稽核小組、資訊安全管理小組、資訊安全緊急應變小組以及各事業部資訊安全管理窗口組成。
資訊安全管理辦公室負責推動資訊安全管理制度與執行各項資訊安全管理事項,每年至少召開一次管理審查會議,定期審查過往審查議題之處理狀況,並檢討與資訊安全管理系統有關之內部及外部議題,落實於管理系統中。2022 年度資訊安全管理執行績效如下:
1 次機房基礎設施備援功能進行演練,包含資通訊基礎設備。
執行年度營運持續演練計畫項目共15 大項,包含日常營運重要資訊系統主機備援功能或備份機制。
完成58 次備份資料還原驗證,確保備份資料可用性。
進行2 次內、外部系統弱點掃描,2 次社交工程演練。
資訊同仁資訊安全教育訓練6 次( 共28 小時),一般員工資訊安全意識教育訓練1 次(2 小時),並進行資訊安全意識測驗測驗1 次,加強員工對於資訊安全風險之應變與警覺性。
各單位資安之執行情形,並無危害本公司資訊安全之事件或不管是來自外部各方並經由公司證實的投訴;或來自監管機關的投訴。
資訊安全管理辦公室組織架構如下圖所示:
圖 20 1 資訊安全管理辦公室組織圖
2.4.2 資訊安全管理作為
根據致茂電子資安執行模型,資訊安全管理具體作為如下:
網路安全:
導入先進偵測技術執行網路監控,阻擋惡意網路攻擊並蒐集資安威脅情資,防止電腦病毒擴散。
裝置安全:
(1) 健全端點防毒掃毒機制,防止勒索病毒與惡意程式。
(2) 郵件系統強化惡意軟體、木馬程式附件與釣魚郵件偵測。
(3) 上網行為進行偵測與阻擋高危險惡意特徵網站與惡意連結或檔案下載。
應用程式安全:
制定應用程式的開發流程安全檢查、評核標準及改善目標。持續強化應用程式的安全控管機制,修補可能存在的漏洞。
資料保護:
訂定使用者密碼管理機制、網路安全區域隔離以維護存取控制及資料安全。
人員帳號管理與教育訓練:
建立密碼原則並且要求定期更新,並定期進行員工資安意識教育訓練與測驗。
資訊安全事件管理:
隨時監控並收集資安防護作業紀錄,蒐集與分析資安情資,建立資訊安全事件通報及處理程序。
資訊安全管理作為從人員、技術與流程三大要素,依據資安管理技術的辨識、保護、偵測、回應與復原五大構面,搭配各種資訊安全管理方案與流程,搭配資訊安全成熟度的概念,將網路安全風險管理的生命週期涵蓋,以建立評估的基準,進一步提升資安防禦水準。
P31 資安治理
Identify
辨識 Protect
保護
Detect偵測
Response回應
Recover復原
Devices
終端裝置 人員
技術
Applications
應用系統
Networks
網路架構
Data
營運資料
Users
人員
流程Process
辨識: 1.資安治理 2.風險評鑑 3.資訊資產盤點。
回應: 1.資通安全事件通報與應變機制 2.資安事件分析與矯正規劃。
保護: 1.身分驗證與存取控制 2.端點裝置防護 3.網路安全防護 4.資料安全防護5.應用服務保護。
偵測: 1.端點及網路行為偵測 2.使用者行為分析 3.資安技術檢測與弱點管理4.網路威脅情資運用。
復原: 1.備份機制 2.備援計劃 3.營運持續規畫與演練。
請讀者注意
iThome鐵人賽
看影片追技術