ESG

运作情形

Home 9 uPI SEMI 9 ESG 9 运作情形 9 资讯安全管理计划

资讯安全管理计划

资通安全具体管理措施:

  • 所有资讯系统均须设定密码并依需求设定使用者存取权限,并安装适当的安全侦测及防制设备,以侦测及预防电脑之恶意软体或行为之危害,确保系统正常运作。
  • 严禁员工使用非法软体或非经授权之资讯软体,相关之软体安装需经核决权限主管同意后,由资讯部协助安装。
  • 员工、合作厂商、委外厂商使用公司重要资料资产应签定相关保密文件,且有责任及义务保护其所取得或使用本公司之资讯资产。
  • 重要资讯系统或设备应建置适当之备援或监控机制并定期演练,以维持其可用性。
  • 同仁帐号、密码与权限应善尽保管与使用责任并定期换置。
  • 定期盘点资讯资产清单,依资讯安全风险评鉴进行风险管理,落实各项管控措施。
  • 制定资讯安全事件的回应方式,以适当对资讯安全事件做即时处理,避免伤害扩大。
  • 不定期以内部邮件向全公司员工宣导资讯安全事项与近期资讯安全事件。
  • 针对新进同仁需完成「资讯系统与资讯安全介绍课程」与课后测验,确保新进同仁了解公司资讯安全政策。
  • 每季针对到职满三个月之新进同仁及现任同仁,由资讯部进行电脑查核,确保无不当下载或使用前任雇主或竞争对手所有之档案或具营业秘密之资讯。

 

资通安全政策

为强化本公司的信息安全管理,建立「信息发展,以安全、持续营运及营业秘密保护为基础」之观念,确保客户及公司数据处理之机密性、完整性及可用性,务使本公司资料之处理全程均获安全保障,提供安全稳定及持续营运之高效率信息服务,该程序适用于本公司全体员工、约聘雇人员、特约厂商、第三方人员以及所有相关信息资产之安全管理,安全政策内容包含如下:

 

操作内容包括:

1. 资讯资产安全管理 2. 网路安全管理
3. 资讯硬体设备管理 4. 软体管理与维护
5.人员安全管理及教育训练 6. 网路、电子邮件及社群媒体使用者之安全管理
7. 资讯作业委外服务之安全管理 8. 实体及环境安全管理
9. 业务永续运作计划管理 10.资讯资料之保密及稽核
11.资讯资料之销毁 12.资讯安全事件和机密泄漏之处理

 

资通安全风险管理架构:

  • 本公司资通安全之权责单位为资讯部,该部设置1名资安专责主管,与1名专业资讯人员,负责订定企业内部资讯安全政策、规划暨执行资讯安全防护与资安政策推动与落实,并定期将公司资安治理概况向董事会报告,最近一次提报日为2024年12月26日。
  • 本公司稽核室为资通安全监理之督导单位,该室设置稽核主管,与专职稽核人员,负责督导内部资安执行状况,若有查核发现缺失,旋即要求受查单位提出相关改善计画与具体作为,且定期追踪改善成效,以降低内部资安风险。
  • 组织运作模式采定期稽核与循环式管理,确保可靠度目标之达成且持续改善。

 

资通安全具体管理措施:

  • 所有信息系统设定密码并设定访问权限,并安装安全侦测及防制程序,以侦测及预防计算机之恶意软件或行为之危害,确保系统正常运作。
  • 严禁员工使用非法软件或非经授权之信息软件,相关之软件安装需经核决权限主管同意后,由信息部协助安装。
  • 员工、合作厂商、委外厂商使用应签定相关保密文件,已确保使用本公司信息以提供信息服务或执行相关信息业务者,有责任及义务保护其所取得或使用本公司之信息资产,以防止遭未经授权存取、擅改、破坏或不当揭露。
  • 重要信息系统或设备应建置适当之备援(备份)或监控机制并定期演练,维持其可用性。
  • 同仁账号、密码与权限应善尽保管与使用责任并依规定定期更换。
  • 建立定期盘点信息资产列表,依信息安全风险评鉴进行风险管理,落实各项管控措施。
  • 制定信息安全事件的响应方式,以适当对信息安全事件做实时处理,避免伤害扩大。
  • 不定期以内部邮件向全公司员工倡导信息安全事项与近期信息安全事件。
  • 针对新进同仁需完成「信息系统与信息安全介绍课程」与课后测验,确保新进同仁了解公司信息安全政策。
  • 每季针对到职满三个月之新进同仁及现任同仁,由信息部进行计算机查核,确保无不当下载或使用前任雇主或竞争对手所有之档案或具营业秘密之信息。

 

112年度资通安全执行情形及预计执行项目:

系统导入及系统安全

目的
  • 公司(含子公司)持续营运政策及风险管控。
  • 防范黑客与病毒入侵破坏。
  • 保护公司网络运行顺畅。
实施项目
  • ISO27001系统验证。
  • I网络安全风险评估平台SecurityScorecard之成效。
  • I日本子公司防火墙更换。
  • IDC帐号稽核系统稽核作业。
  • IEDR主动式端点入侵侦测。
  • I防毒软体端点防护。
执行情形
  • 2024年1月成功通过ISO 27001的SGS外部验证,并取得认证证书,这标志公司在资讯安全管理上的承诺与努力。
  • 公司在 SecurityScorecard 的评分为95分,显示出良好的网络安全状态,反映了资安保护和风险管理方面的努力。
  • 日本分公司更换Layer 7防火墙,提升应用层检测、威胁防护及流量管理,简化运维并增强系统安全,降低风险,并提升系统稳定性及营运效率。
  • 测出外部特权帐号试探系统13次,因刺探特权帐号发生资安危害0次。
  • 防毒发现电脑病毒数547次与EDR零信任防护系统侦测到中风险以上事件为128次,用户端因系统中毒并产生资安事件0次。
  • 资讯设备与系统因骇客与病毒入侵导致中断为0次。

邮件安全管控

目的
  • 保护公司营业秘密不被邮件外泄。
  • 防范外部威胁邮件造成公司营运受损。
实施项目
  • 使用MAILDLP系统持续对公司待发邮件作稽查与审核。
  • 使用邮件威胁防护系统针对传统威胁与病毒邮件作防护机制。
  • 使用进阶邮件防护机制(ADM邮件防护系统),针对非传统病毒附件等威胁及商业电子邮件诈骗威胁作防护机制。
执行情形
  • 未发现利用待发邮件泄漏公司机密之重大事件。
  • 邮件威胁防护系统辨识出威胁邮件5,770封与病毒邮件530封,公司因威胁邮件影响资安0件。
  • ADM邮件防护系统辨识出127封商业诈骗邮件,公司因商业诈骗影响资安0件。

灾难复原应变

目的
  • 优化并持续改善公司现有备份机制。
  • 针对重要系统做风险管控以强化持续营运策略。
实施项目
  • 档案伺服器系统备援。
  • 执行AD虚拟伺服器灾难演练还原。
  • 执行公司重要企业流程系统(BPM)系统复原演练。
执行情形
  • 檔案伺服器備援:今年將利用Robocopy將新檔案伺服器的資料同步至舊伺服器,以強化系統備援能力,確保資料安全並縮短災難恢復時間。
  • 資訊部成功在6小時內完成AD伺服器復原演練,有效確保業務連續性並強化災難應對能力。
  • 資訊部成功在8小時內完成EFGP系統復原演練,提升系統穩定性並減少潛在業務中斷風險。

资安防范与情资交换

目的
  • 强化同仁(含子公司同仁)整体资安意识。
  • 透过外部资安情资交换来防范资安事件的发生。
实施项目
  • 定期作资安宣导与稽查。
  • 定期接收并确认:华硕集团资安联防与TWCERT/CC资安事件通报。
执行情形
  • 宣导资安政策、规范办法、资安意识与防钓鱼网页等计4次。
  • 新人资安教育训练12次,电脑稽查每季一次。
  • 参加华硕集团资安讲座3次。
  • 定期接收TWCERT/CC组织寄送的重大资安情资资讯。

预计执行项目

  • ISO 27001复核
  • 持续强化公司资讯系统安全
  • 资通案例宣导与资安政策宣达
  • 资安弱点渗透与扫描
  • 总公司防火墙新购(汰旧换新)
  • 总公司骨干网路交换器汰旧换新
  • 总公司垃圾邮件系统伺服器硬体