ESG

運作情形

Home 9 uPI SEMI 9 ESG 9 運作情形 9 資訊安全管理計劃

資訊安全管理計劃

資通安全具體管理措施:

  • 所有資訊系統均須設定密碼並依需求設定使用者存取權限,並安裝適當的安全偵測及防制設備,以偵測及預防電腦之惡意軟體或行為之危害,確保系統正常運作。
  • 嚴禁員工使用非法軟體或非經授權之資訊軟體,相關之軟體安裝需經核決權限主管同意後,由資訊部協助安裝。
  • 員工、合作廠商、委外廠商使用公司重要資料資產應簽定相關保密文件,且有責任及義務保護其所取得或使用本公司之資訊資產。
  • 重要資訊系統或設備應建置適當之備援或監控機制並定期演練,以維持其可用性。
  • 同仁帳號、密碼與權限應善盡保管與使用責任並定期換置。
  • 定期盤點資訊資產清單,依資訊安全風險評鑑進行風險管理,落實各項管控措施。
  • 制定資訊安全事件的回應方式,以適當對資訊安全事件做即時處理,避免傷害擴大。
  • 不定期以內部郵件向全公司員工宣導資訊安全事項與近期資訊安全事件。
  • 針對新進同仁需完成「資訊系統與資訊安全介紹課程」與課後測驗,確保新進同仁瞭解公司資訊安全政策。
  • 每季針對到職滿三個月之新進同仁及現任同仁,由資訊部進行電腦查核,確保無不當下載或使用前任雇主或競爭對手所有之檔案或具營業秘密之資訊。

 

資通安全政策

為強化本公司的資訊安全管理,建立「資訊發展,以安全、持續營運及營業秘密保護為基礎」之觀念,確保客戶及公司資料處理之機密性、完整性及可用性,務使本公司資料之處理全程均獲安全保障,提供安全穩定及持續營運之高效率資訊服務,該程序適用於本公司全體員工、約聘僱人員、特約廠商、第三方人員以及所有相關資訊資產之安全管理,安全政策內容包含如下:

操作內容包括:

1. 資訊資產安全管理 2. 網路安全管理
3. 資訊硬體設備管理 4. 軟體管理與維護
5.人員安全管理及教育訓練 6. 網路、電子郵件及社群媒體使用者之安全管理
7. 資訊作業委外服務之安全管理 8. 實體及環境安全管理
9. 業務永續運作計劃管理 10.資訊資料之保密及稽核
11.資訊資料之銷毀 12.資訊安全事件和機密洩漏之處理

資通安全風險管理架構:

  • 本公司資通安全之權責單位為資訊部,該部設置1名資安專責主管,與1名專業資訊人員,負責訂定企業內部資訊安全政策、規劃暨執行資訊安全防護與資安政策推動與落實,並定期將公司資安治理概況向董事會報告,最近一次提報日為2024年12月26日。
  • 本公司稽核室為資通安全監理之督導單位,該室設置稽核主管,與專職稽核人員,負責督導內部資安執行狀況,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
  • 組織運作模式採定期稽核與循環式管理,確保可靠度目標之達成且持續改善。

 

資通安全具體管理措施:

  • 所有資訊系統設定密碼並設定存取權限,並安裝安全偵測及防制程式,以偵測及預防電腦之惡意軟體或行為之危害,確保系統正常運作。
  • 嚴禁員工使用非法軟體或非經授權之資訊軟體,相關之軟體安裝需經核決權限主管同意後,由資訊部協助安裝。
  • 員工、合作廠商、委外廠商使用應簽定相關保密文件,已確保使用本公司資訊以提供資訊服務或執行相關資訊業務者,有責任及義務保護其所取得或使用本公司之資訊資產,以防止遭未經授權存取、擅改、破壞或不當揭露。
  • 重要資訊系統或設備應建置適當之備援(備份)或監控機制並定期演練,維持其可用性。
  • 同仁帳號、密碼與權限應善盡保管與使用責任並依規定定期更換。
  • 建立定期盤點資訊資產清單,依資訊安全風險評鑑進行風險管理,落實各項管控措施。
  • 制定資訊安全事件的回應方式,以適當對資訊安全事件做即時處理,避免傷害擴大。
  • 不定期以內部郵件向全公司員工宣導資訊安全事項與近期資訊安全事件。
  • 針對新進同仁需完成「資訊系統與資訊安全介紹課程」與課後測驗,確保新進同仁瞭解公司資訊安全政策。
  • 每季針對到職滿三個月之新進同仁及現任同仁,由資訊部進行電腦查核,確保無不當下載或使用前任雇主或競爭對手所有之檔案或具營業秘密之資訊。

2024年度資通安全執行情形及預計執行項目:

系統導入及系統安全

目的
  • 公司(含子公司)持續營運政策及風險管控
  • 防範駭客與病毒入侵破壞。
  • 保護公司網路運行順暢。
實施項目
  • ISO27001系統驗證。
  • 網絡安全風險評估平台SecurityScorecard之成效。
  • 日本子公司防火牆更換。
  • DC帳號稽核系統稽核作業。
  • EDR主動式端點入侵偵測。
  • 防毒軟體端點防護。
執行情形
  • 2024年1月成功通過ISO 27001的SGS外部驗證,並取得認證證書,這標誌公司在資訊安全管理上的承諾與努力。
  • 公司在 SecurityScorecard 的評分為95分,顯示出良好的網絡安全狀態,反映了資安保護和風險管理方面的努力。
  • 日本分公司更換Layer 7防火牆,提升應用層檢測、威脅防護及流量管理,簡化運維並增強系統安全,降低風險,並提升系統穩定性及營運效率。
  • 測出外部特權帳號試探系統13次,因刺探特權帳號發生資安危害0次。
  • 防毒發現電腦病毒數547次與EDR零信任防護系統偵測到中風險以上事件為128次,用戶端因系統中毒並產生資安事件0次。
  • 資訊設備與系統因駭客與病毒入侵導致中斷為0次。

郵件安全管控

目的
  • 保護公司(含子公司)營業秘密不被郵件外洩。
  • 防範外部威脅郵件造成公司營運受損。
實施項目
  • Exchange (郵件系統)升級。
  • 使用MAILDLP系統持續對公司外寄郵件作稽查與審核。
  • 使用郵件威脅防護系統針對傳統威脅與病毒郵件作防護機制。
  • 使用進階郵件防護機制(ADM郵件防護系統),針對非傳統病毒附件等威脅及商業電子郵件詐騙威脅作防護機制。 。
執行情形
  • 升級至 Exchange 2019 增強了安全性、性能和可用性,提供現代化用戶體驗,強化移動支援,改善合規功能,簡化管理流程,提升郵件系統的整體效率與穩定性。
  • 未發現利用外寄郵件洩漏公司機密之重大事件。
  • 郵件威脅防護系統辨識出威脅郵件2,677封與病毒郵件260封,公司因威脅郵件影響資安0件。
  • ADM郵件防護系統辨識出6封商業詐騙郵件,公司因商業詐騙影響資安0件。

災難復原應變

目的
  • 優化並持續改善公司現有備份機制。
  • 針對重要系統做風險管控以強化持續營運策略。
實施項目
  • 檔案伺服器系統備援。
  • 執行AD虛擬伺服器災難演練還原。
  • 執行公司重要企業流程系統(BPM)系統復原演練。
執行情形
  • 檔案伺服器備援:今年將利用Robocopy將新檔案伺服器的資料同步至舊伺服器,以強化系統備援能力,確保資料安全並縮短災難恢復時間。
  • 資訊部成功在6小時內完成AD伺服器復原演練,有效確保業務連續性並強化災難應對能力。
  • 資訊部成功在8小時內完成EFGP系統復原演練,提升系統穩定性並減少潛在業務中斷風險。

資安防範與情資交換

目的
  • 強化同仁(含子公司同仁)整體資安意識。
  • 透過外部資安情資交換來防範資安事件的發生。
實施項目
  • 定期作資安宣導與稽查。
  • 定期接收並確認:華碩集團資安聯防與TWCERT/CC資安事件通報。
執行情形
  • 宣導資安政策、規範辦法、資安意識與防釣魚網頁等計4次。
  • 新人資安教育訓練12次,電腦稽查每季一次。
  • 參加華碩集團資安講座3次。
  • 定期接收TWCERT/CC組織寄送的重大資安情資資訊。

預計執行項目

  • ISO 27001複核
  • 持續強化公司資訊系統安全
  • 資通案例宣導與資安政策宣達
  • 資安弱點滲透與掃描
  • 總公司防火牆新購(汰舊換新)
  • 總公司骨幹網路交換器汰舊換新
  • 總公司垃圾郵件系統伺服器硬體