資通安全風險管理架構
- 為確保集團資訊安全管理制度能持續有效運作,研議資訊策略方向及資訊安全之重大事項,特設立資訊安全小組負責資訊安全制度相關事項之推動。
- 每年召開一次管理審查會議,並由召集人向董事會彙報資通安全風險管理政策與具體管理方案。本公司已於112年11月3日提報董事會。
- 由該小組執行集團資安政策,宣導資訊安全訊息,提升員工資安意識,確保內部遵循資安相關準則、程序與法規,落實資訊安全管理措施的有效性,以降低公司面臨之內外部資訊安全風險。
資訊安全政策
- 建立安全及可信賴之電腦化作業環境,確保集團營運及服務提供之資料、系統、設備、網路安全及防止未經授權修改或使用資料與系統,保障集團及客戶權益之永續運作。
具體管理方案:
- 電腦設備安全管理
(1)各應用伺服器等設備均設置於專用機房及雲端主機。
(2)實體機房內部備有獨立空調,維持電腦設備於適當的溫度環境下運轉;並放置藥劑式滅火器,可適用於一般或電器所引起的火災。
(3)機房主機配置不斷電設備,避免瞬間斷電造成系統當機,並確保臨時停電時不會中斷電腦應用系統的運作。
- 網路安全管理
(1)架設防火牆並設定連線規則,阻擋駭客非法入侵。
(2)若在外面辦公需登入公司內網存取資料,必須以資訊服務申請表單申請VPN帳號,透過VPN的安全方式始能登入使用。
(3)設定上網行為管理與過濾,屏蔽訪問有害或政策不允許的網路位址與內容,強化網路安全並防止頻寬資源被不當占用。
- 病毒防護與管理
(1)使用防毒軟體,並自動更新病毒碼,降低病毒感染機會。
(2)電子郵件採用Microsoft雲端郵件信箱,由Microsoft第一道先過濾郵件及附件,中華電信做第二道資安防護,防堵病毒進入使用者的電腦。
- 資料存取管控
(1)電腦設備應有專人保管,並設定帳號與密碼。
(2)人員離職當日,進行各系統帳號刪除及電腦作業系統重新安裝。
(3)設備報廢前確認已將硬碟資料做抹除處理,硬碟無需在使用時,則將硬碟碟片做物理破壞處置。
(4)USB儲存裝置嚴格控管,需要使用時得提出申請。
(5)機密文件採用端點防護系統,自動進行加密,未經過授權者無法解密查看文件。
- 應變復原機制
(1)建置異地備份系統,採取每日備份機制,異地機房各存一份備份資料,確保系統與資料的安全。
(2)定期實施系統復原演練,確保備份資料的正確性。
- 資安教育訓練
(1)每年辦理與資通安全教育訓練。
(2)新進人員皆須簽定資訊保密協定及接受資通安全教育訓練。
投入資通安全管理之資源
- 民國112年企業資訊安全措施推動執行成果
(1)購置端點防護系統,以利實施USB管控及軟體資產等管理。
(2)112年6月13日完成南投廠區-TISAX內部獨立稽核。
(3)112年6月15日完成湖州廠區-TISAX內部獨立稽核。
(4)112年6月20日完成台北辦公室-TISAX內部獨立稽核。
(5)本公司已於112年導入TISAX(車載國際資安標準)認證,以因應資訊安全提升需求。目前已於112年11月5日先取得臨時標籤,證書之有效期為112年11月5日至113年3月20日
(6)112年6月對全體員工進行資訊安全教育訓練,共2場次。
資通安全風險與因應措施
本集團已在網路及電腦建立相關措施,但無法保證能完全避免來自任何第三方網路攻擊。
若遭受嚴重網路攻擊的情況下,本公司的系統可能會失去公司重要的資料,生產線也可能因此受到影響。公司資訊部透過持續檢視和評估其資訊安全規章及程序,以確保其適當性和有效性,但不能保證在瞬息萬變的資訊安全威脅中,不受推陳出新的風險和攻擊所影響。
為了預防及降低事件發生,會持續宣導及改進相關措施,強化網路防火牆與網路控管以防止電腦病毒跨廠區擴散。
管理審查會議
會議已於112年7月26日召開完畢。
|
