資訊處依循資訊管理架構並定期評估資訊安全風險。茲就今年度資安評估及改善重點向董事會報告:
資通安全風險管理架構
於本年度依據[上市上櫃公司資通安全管控指引] 第三條要求,建立「資通安全管理推動委員會」作為本公司資通安全治理及運作管理機制之功能組織,並以PDCA循環式管理方法,確保資通安全風險管理架構可靠度目標之達成與改善。
• 經總經理核准建立本公司資通安全管理推動委員會。
• 負責建立管理核心業務、核心業務系統及系統風險政策、流程及程序。
• 將確保資通安全管理政策能清楚傳達至各階層員工。
• 明確指示全公司各管理階層風險管理間之權責及分層呈報之關係。
• 督導及協助資訊安全規劃及資訊安全事務推動之整合。
• 定期陳報資通安全執行報告。
並擬提報主管機關本公司資訊安全「專責主管」楊文全及資訊安全「專責人員」許嘉益
本公司亦已於7月加入TWCERT資安聯盟組織會員,不定時取得資安訊息及參與研討會。
資通安全政策
本公司「資通安全管理推動委員會」為使本企業業務順利運作,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂本政策如下,以供全體同仁共同遵循:
1. 因應資通安全威脅情勢變化,本企業同仁應參與資通安全相關教育訓練,以提高全公司資通安全意識。
2. 保護企業機敏資訊及資通系統之機密性與完整性,避免未經授權的存取與竄改。
3. 建立與發布各項資通安全管理作業與辦法,並定期檢視依實際情況調整。
4. 定期進行內部稽核,確保各項作業皆能確實落實。
資通安全目標
1. 本年度資通系統操作同仁資通安全教育訓練,每年一次,上課率100%。
2. 本年度資安負責同仁資通安全專業教育訓練,每年一次,上課率100%。
3. 若知悉資安事件發生並於規定的時間完成通報、應變及復原作業(年度重大事件發生≤1次)。
4. 前次內部稽核發現資通安全相關事項,未完成改善之件數應≦2件。年度資通安全目標已達成。
資訊架構檢視
檢視持續營運採取相關措施之妥適性,資訊架構與維運機制是否存在風險,針對業務持續運作之妥適性進行風險分析與改進
報告:
公司資訊架構及服務器主機運行正常,原廠每季定時保養維護。
9月新購資訊機房兩台VM ESXi 伺服器,將公司VMware系統升級並將運行之系統移轉至新伺服器,確保公司所有系統能於穩定的伺服器中運行。
網路活動檢視
檢視設備之存取記錄及帳號權限
報告:
檢視網路設備、資安設備及伺服器之存取、帳號權限之授予皆符合內控作業規範。
網路設備、伺服器及終端設備等檢測
檢視伺服器及資訊設備穩定性及防止入侵
報告:
伺服器及個人電腦定期檢視、更新修補安全補丁,防火牆管控網路存取,郵件服務器病毒及垃圾信件阻擋,防毒伺服器及個人電腦病毒碼更新等皆定期檢視無誤。
安全及密碼管控
服務器設定密碼複雜度設定規則,設定定期密碼變更,避免帳號入侵盜用
報告:
網域帳號管理設定按申請權限及定期變更密碼提升安全性等符合內控規範 管理。
備份機制檢視
檢視需備份系統清冊,備份周期,異地備份執行,備份記錄表
報告:
皆依備份規畫執行,並持續優化備份及還原機制
10月份排定核心業務持續運作演練,執行MES整機災難復原演練,將虛擬主機備份、資料庫備份做整機還原測試演練及演練後檢討,詳參附件一。
資安教育訓練
每年辦理資安教育訓練、資安宣導,加強員工資安知識及觀念。
報告:
員工年度教育訓練於6月份執行,內容包含資訊安全基本觀念、公司電腦操作安全、密碼安全性使用原則、軟體授權需合法、公司內部網路注意事項、公共電腦使用WEB登入安全、電腦病毒預防及防毒軟體使用、勒索軟體特性及預防、網路釣魚及惡意電子郵件、資料備份與NAS網路磁碟存取、電子簽核系統(說明) 、資安通報機制、個資法宣導等,課後並對學員做考核。
資安負責同仁之教育訓練於11月已完成課程。
資訊安全政策及管理辦法
報告:
公司於6月聘請鼎新顧問針對[上市上櫃公司資通安全管控指引]內容進行資安制度改善輔導,增修資訊內控制度辦法及相關子辦法,強化資通安全防護及管理機制,待董事會核准後實施
另為提昇公司資安管理,增加客戶信任,降低營運風險。於11月已聘請安華聯網科技顧問啟動ISO 27001:2022「資訊安全管理系統認證專案」輔導,期於2024年8月取得認證。
