ESG

运作情形

Home 9 uPI SEMI 9 ESG 9 运作情形 9 资讯安全管理计划

资讯安全管理计划

资通安全具体管理措施:

  • 所有资讯系统均须设定密码并依需求设定使用者存取权限,并安装适当的安全侦测及防制设备,以侦测及预防电脑之恶意软体或行为之危害,确保系统正常运作。
  • 严禁员工使用非法软体或非经授权之资讯软体,相关之软体安装需经核决权限主管同意后,由资讯部协助安装。
  • 员工、合作厂商、委外厂商使用公司重要资料资产应签定相关保密文件,且有责任及义务保护其所取得或使用本公司之资讯资产。
  • 重要资讯系统或设备应建置适当之备援或监控机制并定期演练,以维持其可用性。
  • 同仁帐号、密码与权限应善尽保管与使用责任并定期换置。
  • 定期盘点资讯资产清单,依资讯安全风险评鉴进行风险管理,落实各项管控措施。
  • 制定资讯安全事件的回应方式,以适当对资讯安全事件做即时处理,避免伤害扩大。

 

资通安全政策

为强化本公司的信息安全管理,建立「信息发展,以安全、持续营运及营业秘密保护为基础」之观念,确保客户及公司数据处理之机密性、完整性及可用性,务使本公司资料之处理全程均获安全保障,提供安全稳定及持续营运之高效率信息服务,该程序适用于本公司全体员工、约聘雇人员、特约厂商、第三方人员以及所有相关信息资产之安全管理,安全政策内容包含如下:

 

操作内容包括:

1. 资讯资产安全管理 2. 网路安全管理
3. 资讯硬体设备管理 4. 软体管理与维护
5.人员安全管理及教育训练 6. 网路及电子邮件使用者之安全管理
7. 资讯作业委外服务之安全管理 8. 实体及环境安全管理
9. 业务永续运作计划管理 10.资讯资料之保密及稽核
11.资讯资料之销毁 12.资讯安全事件和机密泄漏之处理

 

资通安全风险管理架构:

  • 本公司资通安全之权责单位为资讯部,该部设置1名资安专责主管,与1名专业资讯人员,负责订定企业内部资讯安全政策、规划暨执行资讯安全防护与资安政策推动与落实,并定期将公司资安治理概况向董事会报告,最近一次提报日为112年12月28日。
  • 本公司稽核室为资通安全监理之督导单位,该室设置稽核主管,与专职稽核人员,负责督导内部资安执行状况,若有查核发现缺失,旋即要求受查单位提出相关改善计画与具体作为,且定期追踪改善成效,以降低内部资安风险。
  • 组织运作模式采定期稽核与循环式管理,确保可靠度目标之达成且持续改善。

 

资通安全具体管理措施:

  • 所有信息系统设定密码并设定访问权限,并安装安全侦测及防制程序,以侦测及预防计算机之恶意软件或行为之危害,确保系统正常运作。
  • 严禁员工使用非法软件或非经授权之信息软件,相关之软件安装需经核决权限主管同意后,由信息部协助安装。
  • 员工、合作厂商、委外厂商使用应签定相关保密文件,已确保使用本公司信息以提供信息服务或执行相关信息业务者,有责任及义务保护其所取得或使用本公司之信息资产,以防止遭未经授权存取、擅改、破坏或不当揭露。
  • 重要信息系统或设备应建置适当之备援(备份)或监控机制并定期演练,维持其可用性。
  • 同仁账号、密码与权限应善尽保管与使用责任并依规定定期更换。
  • 建立定期盘点信息资产列表,依信息安全风险评鉴进行风险管理,落实各项管控措施。
  • 制定信息安全事件的响应方式,以适当对信息安全事件做实时处理,避免伤害扩大。
  • 不定期以内部邮件向全公司员工倡导信息安全事项与近期信息安全事件。
  • 针对新进同仁需完成「信息系统与信息安全介绍课程」与课后测验,确保新进同仁了解公司信息安全政策。
  • 每季针对到职满三个月之新进同仁及现任同仁,由信息部进行计算机查核,确保无不当下载或使用前任雇主或竞争对手所有之档案或具营业秘密之信息。

 

112年度资通安全执行情形及预计执行项目:

系统导入及系统安全

目的
  • 公司持续营运政策及风险管控。
  • 防范黑客与病毒入侵破坏。
  • 保护公司网络运行顺畅。
实施项目
  • ISO27001系统导入。
  • DC账号稽核系统稽核作业。
  • EDR主动式端点入侵检测。
  • 防病毒软件端点防护。
执行情形
  • ISO 27001信息安全管理系统导入作业,至112年11月底已完成文件发布及内部稽核,已于113年1月获得SGS推荐为ISO 27001的合格公司。
  • 测出外部特权账号试探系统40次,系统入侵0次。
  • 防护系统发现计算机病毒数293次,客户端因系统中毒产生资安事件0次。
  • 公司信息设备与系统因黑客与病毒入侵导致中断为0次。

邮件安全管控

目的
  • 保护公司营业秘密不被邮件外泄。
  • 防范外部威胁邮件造成公司营运受损。
实施项目
  • 使用MAILDLP系统持续对公司待发邮件作稽查与审核。
  • 使用邮件威胁防护系统针对传统威胁与病毒邮件作防护机制。
  • 使用进阶邮件防护机制(ADM邮件防护系统),针对非传统病毒附件等威胁及商业电子邮件诈骗威胁作防护机制。
执行情形
  • 未发现利用待发邮件泄漏公司机密之重大事件。
  • 邮件威胁防护系统辨识出威胁邮件5,770封与病毒邮件530封,公司因威胁邮件影响资安0件。
  • ADM邮件防护系统辨识出127封商业诈骗邮件,公司因商业诈骗影响资安0件。

灾难复原应变

目的
  • 优化并持续改善公司现有备份机制。
  • 针对重要系统做风险管控以强化持续营运策略。
实施项目
  • OA导入专业备份软件,改善并缩短重要数据遗失时间。
  • 执行公司重要ERP系统复原演练。
执行情形
  • OA在成功的导入Commvault专业备份软件后,数据完整备份已由3天缩短为19个小时(以公司重要文件服务器资料为例),另外公司异地备份机制由磁带备份改为透过VPN异地备份至台北办公室,所有重要服务器数据如AD&文件服务器&ERP系统,异地数据遗失时间由原来一个月缩短为1天。
  • 公司重要ERP系统成功的在ISO27001规范的6小时内进行复原演练成功并产出报告。

资安防范与情资交换

目的
  • 强化同仁整体资安意识。
  • 透过外部资安情资交换来防范资安事件的发生。
实施项目
  • 定期作资安倡导与稽查。
  • 定期接收并确认:华硕集团资安联防与TW资安事件通报。
执行情形
  • 倡导资安政策、规范办法、资安意识与防钓鱼网页等计7次。
  • 新人资安教育训练15次,计算机稽查每季一次。
  • 参加华硕集团资安讲座4次。
  • 定期接收TWCERT/CC组织寄送的重大资安情资信息。

预计执行项目

  • ISO 27001验证
  • 持续强化公司信息系统安全
  • 资通案例倡导与资安政策宣达
  • 资安弱点渗透与扫描
  • Exchange升级
  • 文件服务器系统备援