立碁電子| 資安政策

投資人專區 - 選單

公司資料

- 基本資料

公司治理

- 公司治理架構 - 公司治理人員 - 公司規章 - 董事會 - 薪資報酬委員會 - 審計委員會 - 主要股東名單 - 內部稽核 - 資安政策 - 退休制度實施情形 - 智慧財產管理計畫 - 供應商管理政策 - 董事會成員及重要管理階層之接班規劃 - 獨立董事、內稽主管與會計師之溝通情形

財務資訊(每月營收) 財務報表投資消息股東專欄利害關係人專區

投資人專區

資安政策

(一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
近期資訊安全治理報告及成果已於113年12月24日董事會報告在案。

1.資通安全風險管理架構
已依據[上市上櫃公司資通安全管控指引]第三條要求，建立「資通安全管理推動委員會」作為本公司資通安全治理及運作管理機制之功能組織，並以PDCA循環式管理方法，確保資通安全風險管理架構可靠度目標之達成與改善。
資通安全管理推動委員會持續運作，定期檢討資安政策及目標，並追蹤執行。
本公司已為TWCERT資安聯盟組織會員，不定時取得即時資安威脅訊息並積極參與TWCERT舉辦之研討會，蒐集更多資安情資作為防範參考。

2.資通安全政策
本公司「資通安全管理推動委員會」為使本企業業務順利運作，防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，並確保其機密性（Confidentiality）、完整性（Integrity）及可用性（Availability），特制訂本政策如下，以供全體同仁共同遵循：

(1)因應資通安全威脅情勢變化，本企業同仁應參與資通安全相關教育訓練，以提高全公司資通安全意識。

(2)保護企業機敏資訊及資通系統之機密性與完整性，避免未經授權的存取與竄改。

(3)建立與發布各項資通安全管理作業與辦法，並定期檢視依實際情況調整。

(4)定期進行內部稽核，確保各項作業皆能確實落實。

3.資通安全目標

(1)本年度資通系統操作同仁資通安全教育訓練，每年一次，上課率100%。

(2)本年度資安負責同仁資通安全專業教育訓練，每年一次，上課率100%。

(3)本年度弱點掃描每年執行一次，並於一週內將高風險弱點100%完成控制。

(4)本年度社交工程演練，每年執行一次，及格率100%。

(5)若知悉資安事件發生並於規定的時間完成通報、應變及復原作業(年度重大事件發生≤1次)。

(6)前次內部稽核發現資通安全相關事項，未完成改善之件數應≦2件。

年度資通安全目標已達成。

4.資訊架構檢視
檢視持續營運採取相關措施之妥適性，資訊架構與維運機制是否存在風險，針對業務持續運作之妥適性進行風險分析與改進。
報告：
公司資訊架構及服務器主機運行正常，原廠每季定時保養維護。
年度執行核心系統弱點掃描，後續依掃描報告執行修補。新購資訊機房Core Switch做雙備援機制，確保Core Switch如故障，可啟用備援機營運不中斷。
更新全廠區各樓層Wi-Fi系統，資安強度及訊號升級。

5.網路活動檢視
檢視設備之存取記錄及帳號權限。
報告：
檢視網路設備、資安設備及伺服器之存取、帳號權限之授予皆符合內控作業規範。

6.網路設備、伺服器及終端設備等檢測
檢視伺服器及資訊設備穩定性及防止入侵。
報告：
伺服器及個人電腦定期檢視、更新修補安全補丁，防火牆管控網路存取，郵件服務器病毒及垃圾信件阻擋，防毒伺服器及個人電腦病毒碼更新等皆定期檢視無誤。

7.安全及密碼管控
服務器設定密碼複雜度設定規則，設定定期密碼變更，避免帳號入侵盜用。
報告：
網域帳號管理設定按申請權限及定期變更密碼提升安全性等符合內控規範管理。
8.備份機制檢視
檢視需備份系統清冊，備份周期，異地備份執行，備份記錄表。
報告：
皆依備份規畫執行，並持續優化備份及還原機制。
年度排定核心業務持續運作演練，執行郵件服務器整機災難復原演練，將虛擬主機備份、資料庫備份做整機還原測試演練及演練後檢討。

9.資安教育訓練
每年辦理資安教育訓練、資安宣導，加強員工資安知識及觀念。
報告：
員工年度教育訓練執行，內容包含資訊安全基本觀念、公司電腦操作安全、密碼安全性使用原則、軟體授權需合法、公司內部網路注意事項、公共電腦使用WEB登入安全、電腦病毒預防及防毒軟體使用、勒索軟體特性及預防、網路釣魚及惡意電子郵件、資料備份與NAS網路磁碟存取、電子簽核系統(說明)、資安通報機制、個資法宣導等，課後並對學員做考核。資安負責同仁之教育訓練也已於年度完成。對使用電子郵件同仁執行社交工程教育訓練，並委外資安廠商執行電子郵件社交工程演練。

10.投入資安管理之資源
報告：
人力–指定本公司資通安全管理人員
–資通安全認知教育訓練x系統使用人員100%
–資通安全專業教育訓練x資安管理人員100%
–社交工程演練教育訓練x電子郵件使用人員100%
作為–資通安全管理審查會議x2場次
–資通安全核心系統盤點x風險評鑑
–社交工程演練/核心資通系統弱點掃描
預算–除維護費用外，購買Core Switch備援設備、全廠Wi-Fi設備升級、社交工程演練、核心系統弱點掃描、ISO27001 認證輔導等相關費用

11.資訊安全及管理系統
報告：
為提升公司資安管理，增加客戶信任，降低營運風險，於2023年聘請安華聯網科技顧問啟動ISO27001:2022 TAF資訊安全管理系統輔導，已於今年6月取得證書。
公司經過驗證公司之查核，已於2024年6月取得 ISO27001:2022 TAF 證書
證書編號：ARES/TW/2403003I
證書簽發日期 : 2024-06-27
證書有效日期 : 2027-06-26