信息安全风险管理架构
由首席安全官担任团队召集人组建信息安全团队,团队包含 、技术组及查核组,负责统筹、计画、执行及分析信息安全事件并定期汇报资安相关议题及执行成效。
信息安全政策
- 策略组负责研拟信息安全相关计画并推动各项信息安全政策、指导方针及产品或服务导入计画。
- 技术组负责指导方针实施、产品及服务测试验证、导入及后续维运支持。
- 查核组负责组织内部独立稽核单位于每年审核信息安全政策及各流程是否确实执行并依查核报告提出改善计画及追踪后续执行情况。
- 由资安团队依PDCA循环,定期计划并检讨信息安全防护措施。
Information Security Policy
具体管理方案及投入资通安全管理之资源
- 落实个人计算机及服务器防病毒软件端点防护。
- 外网防火墙设备应具有应用程序辨识能力,强化外部攻击行为的防御能力。
- 内网防火墙,正向表列可存取服务。
- 身份识别模块自动区隔员工及访客的身份,区隔存取路径。
- 垃圾邮件防护增加进阶威胁防护模块,防护钓鱼信件骗取机敏数据。
- 导入基于人工智能与机器学习的端点检测与响应(EDR)防护机制,通过自主学习建立正常行为模型,进而识别、阻断异常行为,以强化端点安全防护能力。
- 公司与专业厂商签订 SOC/MDR 服务,提供 7×24 小时全天候信息安全监控与威胁分析。
- 导入弱点扫描系统,实时掌握系统漏洞,并持续进行追踪与改善,以降低信息安全风险。
- 导入二因子验证降低帐密遭窃风险。
- 持持续社交工程演练,提升员工信息安全意识。
- 持续提升信息安全人员专业培训,确保作业人员皆符合信息安全标准。
- 加入TWCERT/CC等资安联防组织,强化资安联防体系与威胁情资共享。
- 已通过并取得ISO/IEC 27001:2022、 CNS 27001:2023验证,证书有效期(2022-12-13 ~ 2028-12-12) ,证书下载
信息技术安全之风险及管理措施
本集团已建立全面的网络与电脑相关资安防护措施,但仍无法保证重要企业功能之电脑系统能完全避免来自任何第三方瘫痪系统的入侵攻击。在遭受严重的入侵事件下,系统可能无法运作,将导致无法出货造成营运中断或延误出货而需赔偿客户的损失,故迅速恢复系统运作会是重中之重,本集团除了不断加强信息安全设备及软件的投资外,也持续强化备援措施,这些措施包含:
- 本地资料快照,在硬件未受损坏的状况下得以最快的方式复原遭受破坏的资料。
- 异地抄写,在30公里以外的地点建立备援中心即时抄写资料,同时建立异地快照双重防护。
- 资料备份异地存放,每週全备份并将备份资料取出存放到异地。
- 定期演练将主资料中心切换到异地运作。
借由以上措施让意外发生时能够在最短时间恢复公司营运。
更详尽信息安全内容与未来规划,请参考本集团环境、社会及管治网站。
ESG-Information Security