ESG

運作情形

Home 9 uPI SEMI 9 ESG 9 運作情形 9 資訊安全管理計劃

資訊安全管理計劃

資通安全具體管理措施:

  • 所有資訊系統均須設定密碼並依需求設定使用者存取權限,並安裝適當的安全偵測及防制設備,以偵測及預防電腦之惡意軟體或行為之危害,確保系統正常運作。
  • 嚴禁員工使用非法軟體或非經授權之資訊軟體,相關之軟體安裝需經核決權限主管同意後,由資訊部協助安裝。
  • 員工、合作廠商、委外廠商使用公司重要資料資產應簽定相關保密文件,且有責任及義務保護其所取得或使用本公司之資訊資產。
  • 重要資訊系統或設備應建置適當之備援或監控機制並定期演練,以維持其可用性。
  • 同仁帳號、密碼與權限應善盡保管與使用責任並定期換置。
  • 定期盤點資訊資產清單,依資訊安全風險評鑑進行風險管理,落實各項管控措施。
  • 制定資訊安全事件的回應方式,以適當對資訊安全事件做即時處理,避免傷害擴大。

 

資通安全政策

為強化本公司的資訊安全管理,建立「資訊發展,以安全、持續營運及營業秘密保護為基礎」之觀念,確保客戶及公司資料處理之機密性、完整性及可用性,務使本公司資料之處理全程均獲安全保障,提供安全穩定及持續營運之高效率資訊服務,該程序適用於本公司全體員工、約聘僱人員、特約廠商、第三方人員以及所有相關資訊資產之安全管理,安全政策內容包含如下:

操作內容包括:

1. 資訊資產安全管理 2. 網路安全管理
3. 資訊硬體設備管理 4. 軟體管理與維護
5.人員安全管理及教育訓練 6. 網路及電子郵件使用者之安全管理
7. 資訊作業委外服務之安全管理 8. 實體及環境安全管理
9. 業務永續運作計劃管理 10.資訊資料之保密及稽核
11.資訊資料之銷毀 12.資訊安全事件和機密洩漏之處理

資通安全風險管理架構:

  • 本公司資通安全之權責單位為資訊部,該部設置1名資安專責主管,與1名專業資訊人員,負責訂定企業內部資訊安全政策、規劃暨執行資訊安全防護與資安政策推動與落實,並定期將公司資安治理概況向董事會報告,最近一次提報日為112年12月28日。
  • 本公司稽核室為資通安全監理之督導單位,該室設置稽核主管,與專職稽核人員,負責督導內部資安執行狀況,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
  • 組織運作模式採定期稽核與循環式管理,確保可靠度目標之達成且持續改善。

 

資通安全具體管理措施:

  • 所有資訊系統設定密碼並設定存取權限,並安裝安全偵測及防制程式,以偵測及預防電腦之惡意軟體或行為之危害,確保系統正常運作。
  • 嚴禁員工使用非法軟體或非經授權之資訊軟體,相關之軟體安裝需經核決權限主管同意後,由資訊部協助安裝。
  • 員工、合作廠商、委外廠商使用應簽定相關保密文件,已確保使用本公司資訊以提供資訊服務或執行相關資訊業務者,有責任及義務保護其所取得或使用本公司之資訊資產,以防止遭未經授權存取、擅改、破壞或不當揭露。
  • 重要資訊系統或設備應建置適當之備援(備份)或監控機制並定期演練,維持其可用性。
  • 同仁帳號、密碼與權限應善盡保管與使用責任並依規定定期更換。
  • 建立定期盤點資訊資產清單,依資訊安全風險評鑑進行風險管理,落實各項管控措施。
  • 制定資訊安全事件的回應方式,以適當對資訊安全事件做即時處理,避免傷害擴大。
  • 不定期以內部郵件向全公司員工宣導資訊安全事項與近期資訊安全事件。
  • 針對新進同仁需完成「資訊系統與資訊安全介紹課程」與課後測驗,確保新進同仁瞭解公司資訊安全政策。
  • 每季針對到職滿三個月之新進同仁及現任同仁,由資訊部進行電腦查核,確保無不當下載或使用前任雇主或競爭對手所有之檔案或具營業秘密之資訊。

112年度資通安全執行情形及預計執行項目:

系統導入及系統安全

目的
  • 公司持續營運政策及風險管控
  • 防範駭客與病毒入侵破壞。
  • 保護公司網路運行順暢。
實施項目
  • ISO27001系統導入
  • DC帳號稽核系統稽核作業
  • EDR主動式端點入侵偵測
  • 防毒軟體端點防護
執行情形
  • ISO 27001資訊安全管理系統導入作業,至112年11月底已完成文件發佈及內部稽核,已於113年1月獲得SGS推薦為ISO 27001的合格公司。
  • 測出外部特權帳號試探系統40次,系統入侵0次。
  • 防護系統發現電腦病毒數293次,用戶端因系統中毒產生資安事件0次。
  • 公司資訊設備與系統因駭客與病毒入侵導致中斷為0次。

郵件安全管控

目的
  • 保護公司營業秘密不被郵件外洩。
  • 防範外部威脅郵件造成公司營運受損。
實施項目
  • 使用MAILDLP系統持續對公司外寄郵件作稽查與審核。
  • 使用郵件威脅防護系統針對傳統威脅與病毒郵件作防護機制。
  • 使用進階郵件防護機制(ADM郵件防護系統),針對非傳統病毒附件等威脅及商業電子郵件詐騙威脅作防護機制。
執行情形
  • 未發現利用外寄郵件洩漏公司機密之重大事件。
  • 郵件威脅防護系統辨識出威脅郵件5,770封與病毒郵件530封,公司因威脅郵件影響資安0件。
  • ADM郵件防護系統辨識出127封商業詐騙郵件,公司因商業詐騙影響資安0件。

災難復原應變

目的
  • 優化並持續改善公司現有備份機制。
  • 針對重要系統做風險管控以強化持續營運策略。
實施項目
  • OA導入專業備份軟體,改善並縮短重要資料遺失時間。
  • 執行公司重要ERP系統復原演練。
執行情形
  • OA在成功的導入Commvault專業備份軟體後,資料完整備份已由3天縮短為19個小時(以公司重要檔案伺服器資料為例),另外公司異地備份機制由磁帶備份改為透過VPN異地備份至台北辦公室,所有重要伺服器資料如AD&檔案伺服器&ERP系統,異地資料遺失時間由原來一個月縮短為1天。
  • 公司重要ERP系統成功的在ISO27001規範的6小時內進行復原演練成功並產出報告。

資安防範與情資交換

目的
  • 強化同仁整體資安意識。
  • 透過外部資安情資交換來防範資安事件的發生。
實施項目
  • 定期作資安宣導與稽查。
  • 定期接收並確認:華碩集團資安聯防與TW資安事件通報。
執行情形
  • 宣導資安政策、規範辦法、資安意識與防釣魚網頁等計7次。
  • 新人資安教育訓練15次,電腦稽查每季一次。
  • 參加華碩集團資安講座4次。
  • 定期接收TWCERT/CC組織寄送的重大資安情資資訊。

預計執行項目

  • ISO 27001驗證
  • 持續強化公司資訊系統安全
  • 資通案例宣導與資安政策宣達
  • 資安弱點滲透與掃描
  • Exchange升級
  • 檔案伺服器系統備援