◆資通安全管理策略與架構
| 風險類型 | 風險細項 |
|---|---|
| 資訊安全風險 | 係指企業之資訊資產可能遭受不可承受的風險,而無法確保資訊之機密性、完整性與可用性,包括未經授者,仍可存取資訊、無法確保資訊內容及資訊處理方法為正確而且完整、經授權的使用者當需要時,無法即時存取資訊及使用相關的資產等,而造成可能之損失。 |
本公司由總管理處擔任「資訊安全」之專責單位,並由總管理處負責協助董事會及管理階層制定及監督執行與防範方案,以確保資通安全之落實,該專職單位排定每年12月向董事會報告其執行情形,本年度在 112/12/19向董事會報告其執行情形。
◆資通安全管理政策
公司的資訊安全政策涵蓋本公司及海內外子公司,是以確保公司業務之永續營運之以下四項指導準則:
一、建立符合法規與客戶需求之資訊安全管理規範;
二、透過全員認知,達成資訊安全人人有責的共識;
三、保護公司與客戶資訊的機密性、完整性與可用性;
四、提供安全的生產環境,以「防毒」、「防駭」、「防漏」三大資安防護主軸為目標,建立防火牆、入侵偵測、防毒系統及諸多內控系統,以提升公司在防禦外部攻擊以及確保內部機密資訊防護的能力。
規劃於113年底著手導入資訊安全管理系統(ISMS, Information Security Management System),從系統面、技術面、程序面降低企業資安威脅,建立符合客戶需求的資訊安全保護環境,並不斷地進行「計劃-實施-查核-行動」(PDCA, Plan- Do-Check-Act)循環以持續改善。
◆具體管理方案
為達資安政策與目標,建立全面性的資安防護,推行的管理事項及具體管理方案如下:
一、提升資安防禦能力:定期進行資安系統脆弱度分析,並加以補強與修護,以降低資安風險。建立網路安全事件應變計畫,依事件嚴重度等級進行影響和損失評估,採取對應的通報及復原行動。
二、增進網路、端點及應用安全:提升端點設備的異常偵測及防 護能力,運用行為分析機制,阻絕不當應用程序的執行。
三、法令遵循:依據臺灣資通安全管理法規範重點推動資安維護計畫、關鍵資訊基礎設施強化、安全性原則和管理制度、安全運維管理、網路資訊保護、網路安全事件及應急管理、外部監管和溝通等作為。
四、教育訓練:進行全員資安教育訓練與不定期社交工程釣魚郵件測試,以提升資安意識,使資安的運作在高階主管與各部門的支持下,落實到每一位員工身上。
◆投入資通安全管理之資源
資訊安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:
一、教育訓練:所有新進員工到職前皆完成資訊安全教育訓練課程。
二、資安公告:通過郵件,傳達資安防護重要規定與注意事項。
◆資通安全風險與因應措施
公司致力建立全面的網路與電腦相關資安防護措施,並落實及強化全員資安意識與作為,但仍無法保證其控管或維持公司製造營運及會計等重要企業功能之電腦系統能完全避免來自任何第三方癱瘓系統的網路攻擊非法方式入侵,對公司的內部網路系統,進行破壞公司之營運及損及公司商譽等活動,在遭受嚴重網路攻擊的情況下,系統可能會失去公司重要的資料。
透過持續檢視和評估其資訊安全規章及程序,以確保其適當性和有效性,但不能保證公司在瞬息萬變的資訊安全威脅中不受推陳出新的風險和攻擊所影響。網路攻擊也可能企圖竊取公司的營業祕密及其他機密資訊,例如客戶或其他利害關係人的專有資訊以及員工的公民資訊。
惡意的駭客亦能試圖將電腦病毒、破壞性軟體或勒索軟體導入公司的網路系統,以干擾公司的營運、對公司進行敲詐或勒索,取得電腦系統控制權,或窺探機密資訊。這些攻擊可能導致公司需擔負龐大的費用實施補救和改進措施,以加強公司的網路安全系統;也可能使公司因涉入公司對其有保密義務之員工、客戶或第三方資訊外洩而導致的相關法律案件或監管調查,而承擔重大法律責任。
為了預防及降低此類攻擊所造成的傷害,落實相關改進措施並持續更新,例如:建置機台入廠掃毒機制以防止內含惡意軟體的機台進入公司、強化網路防火牆與網路控管以防止電腦病毒跨機台及跨廠區擴散、建置端點防護措施、導入先進的解決方案以偵測與處理惡意軟體建立一個整合的自動化資安維運平台,定期執行員工警覺性測試。
雖然持續加強資訊安全防護措施,但仍無法保證公司免於惡意軟體及駭客攻擊。
在被網路攻擊的防禦與復歸機制,映興電子股份有限公司以上述的手段將威脅限縮並以備援機制於損害點發生的48小時之內的跨度,使日常作業得以最短時間內復歸。
