資通安全風險管理架構

由資安長擔任團隊召集人組建資安團隊,團隊包含策略小組、技術小組及查核小組,負責統籌、計畫、執行及分析資安事件並定期向董事會彙報資安相關議題及執行方向。


資通安全政策

  1. 策略小組負責研擬規劃及推動各項資訊安全政策、管理暨實施辦法及產品或服務導入計畫。
  2. 技術小組負責管理辦法施行及產品及服務POC、導入及後續維運支援。
  3. 查核小組負責協助內部獨立稽核單位於每季審核資訊安全政策及各流程是否有確實執行,並依稽核單位提出之查核報告提出改善計畫及追蹤後續執行情況。
  4. 由團隊共同確認維護及改善方式並持續推動,完成PDCA循環。


具體管理方案及投入資通安全管理之資源

  1. 落實個人電腦及伺服器防毒軟體端點防護並啟用行為分析模組保護端點安全。
  2. 外網防火牆設備具有應用程式辨識能力、入侵防護及進階威脅防護等機制,強化外部攻擊行為的防禦能力。
  3. 內網防火牆,正向表列可存取服務阻隔風險暴露。
  4. 身份識別模組區分員工及訪客的身份,隔離存取路徑。
  5. 垃圾郵件防護除了基本垃圾郵件辨識外,另增加進階威脅防護模組,強化釣魚信件內容辨識能力以防護機敏資料騙取行為。
  6. 導入人工智慧機器學習之端點/網路偵測回應防護機制(EDR/NDR),自主學習建立正常行為模型進而從中發現並阻斷異常行為。
  7. 與廠商簽定SOC/MDR服務7×24小時全天候監控分析威脅情事。
  8. 弱點掃描系統隨時掌握系統漏洞並持續追蹤及改善。
  9. 導入二次驗證降低帳密遭竊風險。
  10. 持續社交工程演練及教育訓練提升員工資訊安全意識。
  11. 持續提升資安人員專業培訓,確保作業人員皆符合資通安全標準。
  12. 加入TWCERT/CC等資安聯防組織,強化資安聯防體系與威脅情資共享。
  13. 已通過並取得ISO/IEC 27001:2013、 CNS 27001:2014驗證,證書有效期(2022-12-13 ~ 2025-10-31),線上查詢


資訊技術安全之風險及管理措施

本集團已建立全面的網路與電腦相關資安防護措施,但仍無法保證重要企業功能之電腦系統能完全避免來自任何第三方癱瘓系統的入侵攻擊。在遭受嚴重的入侵事件下,系統可能無法運作,將導致無法出貨造成營運中斷或延誤出貨而需賠償客戶的損失,故迅速恢復系統運作會是重中之重,本集團除了不斷加強資訊安全設備及軟體的投資外,也持續強化備援措施,這些措施包含:
  1. 本地資料快照,在硬體未受損壞的狀況下得以最快的方式復原遭受破壞的資料。
  2. 異地抄寫,在30公里以外的地點建立備援中心即時抄寫資料,同時建立異地快照雙重防護。
  3. 資料備份異地存放,每日全備份並將備份資料取出存放到異地。
  4. 定期演練將主資料中心切換到異地運作。

藉由以上措施讓意外發生時能夠在最短時間恢復公司營運。

更詳盡資安內容與未來規劃,請參考本集團永續發展網站。

ESG-Information Security