◆资通安全管理策略与架构
| 风险类型 | 风险细项 |
|---|---|
| 资讯安全风险 | 系指企业之资讯资产可能遭受不可承受的风险,而无法确保资讯之机密性、完整性与可用性,包括未经授者,仍可存取资讯、无法确保资讯内容及资讯处理方法为正确而且完整、经授权的使用者当需要时,无法即时存取资讯及使用相关的资产等,而造成可能之损失。 |
本公司由总管理处担任“资讯安全”之专责单位,并由总管理处负责协助董事会及管理阶层制定及监督执行与防范方案,以确保资通安全之落实,该专职单位排定每年12月向董事会报告其执行情形,本年度在 112/12/19向董事会报告其执行情形。
◆资通安全管理政策
公司的资讯安全政策涵盖本公司及海内外子公司,是以确保公司业务之永续营运之以下四项指导准则:
一、建立符合法规与客户需求之资讯安全管理规范;
二、透过全员认知,达成资讯安全人人有责的共识;
三、保护公司与客户资讯的机密性、完整性与可用性;
四、提供安全的生产环境,以“防毒”、“防骇”、“防漏”三大资安防护主轴为目标,建立防火墙、入侵侦测、防毒系统及诸多内控系统,以提升公司在防御外部攻击以及确保内部机密资讯防护的能力。
规划于113年底着手导入资讯安全管理系统(ISMS, Information Security Management System),从系统面、技术面、程序面降低企业资安威胁,建立符合客户需求的资讯安全保护环境,并不断地进行“计划-实施-查核-行动”(PDCA, Plan- Do-Check-Act)循环以持续改善。
◆具体管理方案
为达资安政策与目标,建立全面性的资安防护,推行的管理事项及具体管理方案如下:
一、提升资安防御能力:定期进行资安系统脆弱度分析,并加以补强与修护,以降低资安风险。建立网路安全事件应变计划,依事件严重度等级进行影响和损失评估,采取对应的通报及复原行动。
二、增进网路、端点及应用安全:提升端点设备的异常侦测及防 护能力,运用行为分析机制,阻绝不当应用程序的执行。
三、法令遵循:依据台湾资通安全管理法规范重点推动资安维护计划、关键资讯基础设施强化、安全性原则和管理制度、安全运维管理、网路资讯保护、网路安全事件及应急管理、外部监管和沟通等作为。
四、教育训练:进行全员资安教育训练与不定期社交工程钓鱼邮件测试,以提升资安意识,使资安的运作在高阶主管与各部门的支持下,落实到每一位员工身上。
◆投入资通安全管理之资源
资讯安全已为公司营运重要议题,对应资安管理事项及投入之资源方案如下:
一、教育训练:所有新进员工到职前皆完成资讯安全教育训练课程。
二、资安公告:通过邮件,传达资安防护重要规定与注意事项。
◆资通安全风险与因应措施
公司致力建立全面的网路与电脑相关资安防护措施,并落实及强化全员资安意识与作为,但仍无法保证其控管或维持公司制造营运及会计等重要企业功能之电脑系统能完全避免来自任何第三方瘫痪系统的网路攻击非法方式入侵,对公司的内部网路系统,进行破坏公司之营运及损及公司商誉等活动,在遭受严重网路攻击的情况下,系统可能会失去公司重要的资料。
透过持续检视和评估其资讯安全规章及程序,以确保其适当性和有效性,但不能保证公司在瞬息万变的资讯安全威胁中不受推陈出新的风险和攻击所影响。网路攻击也可能企图窃取公司的营业秘密及其他机密资讯,例如客户或其他利害关系人的专有资讯以及员工的公民资讯。
恶意的骇客亦能试图将电脑病毒、破坏性软体或勒索软体导入公司的网路系统,以干扰公司的营运、对公司进行敲诈或勒索,取得电脑系统控制权,或窥探机密资讯。这些攻击可能导致公司需担负庞大的费用实施补救和改进措施,以加强公司的网路安全系统;也可能使公司因涉入公司对其有保密义务之员工、客户或第三方资讯外泄而导致的相关法律案件或监管调查,而承担重大法律责任。
为了预防及降低此类攻击所造成的伤害,落实相关改进措施并持续更新,例如:建置机台入厂扫毒机制以防止内含恶意软体的机台进入公司、强化网路防火墙与网路控管以防止电脑病毒跨机台及跨厂区扩散、建置端点防护措施、导入先进的解决方案以侦测与处理恶意软体建立一个整合的自动化资安维运平台,定期执行员工警觉性测试。
虽然持续加强资讯安全防护措施,但仍无法保证公司免于恶意软体及骇客攻击。
在被网路攻击的防御与复归机制,映兴电子股份有限公司以上述的手段将威胁限缩并以备援机制于损害点发生的48小时之内的跨度,使日常作业得以最短时间内复归。
