資訊安全風險管理

 

資訊安全風險管理架構

景碩依「內外部利害關係方」之關注事項,參照國際資安管理作業、個人資料保護等標準及法令規定,訂定本公司「資訊安全管理制度」,確保本公司資通訊基礎設施、資訊系統符合機密性、完整性、可用性及合法性要求。並以持續改善PDCA循環流程管理模式,整合及強化資訊安全管理體系。2023年資訊安全管理執行情形已由管理委員會召集人於2023年12月26日向董事會報告。

 

 

資訊安全管理整體政策

本公司執行長指派資訊安全管理代表在公司內部成立資訊安全管理委員會,負責擬定本公司之資訊安全管理政策。並設置資訊安全管理專責單位、主管及人員,負責資訊安全推動及管理。

 

 

圖一、資訊安全管理委員會

 

  

本公司資訊安全管理政策為「提供可信賴的資訊安全管理作業環境,確保公司業務持續正常運作,達成公司資訊安全管理目標。」經執行長審查核可後,發佈實施。


壹、目的

(1) 落實本公司資訊安全管理政策。

(2) 導入資訊安全管理制度。

(3) 提升本公司資訊安全管理之素養。

(4) 強化本公司資訊安全管理應變能力。

(5) 達成資訊安全管理政策量測指標。

貳、適用範圍

  • 石磊廠(總部)
  • 清華廠
  • 新豐廠
  • 幼獅廠 

 

參、目標

本公司之資訊安全管理目標為「確保組織業務相關資通訊系統之機密性、完整性與可用性,並提供持續可用之服務。」為確保本公司資訊安全管理制度之實施,能夠達成公司營運之需要,各項作業流程應根據本公司資訊安全管理目標,應定期檢視與評估及修正。

 


資訊安全管理執行情形

管理要項
制度/辦法教育與宣導
作業範圍

1.優化資訊安全政策與優化資安作業規範

2.資安政策/規範宣導與教育訓練

實施措施

1.資訊安全管理辦法(ISMS)生效與實施,並取得ISO27001資訊安全管理系統認證

2.持續實施新進員工資安訓練,透過EIP入口網頁、螢幕保護程式推廣主題式資安意識宣導

3.執行社交工程演練,強化同仁資訊安全安意識

執行情形

1.通過ISO 27001國際資安認證,建置多項管理規範

2.新進員工完成資訊安全eLearning 學習課程,共計457人次,測驗通過率100%

3.宣導資安政策、威脅辨識與行動辦公等安全防禦意識共4次

4.執行2次社交工程演練

管理要項
網路安全防護
作業範圍

1.保護網路運行順暢

2.防止駭客入侵破壞

實施措施

1.建置多層次資安防禦與偵查監管系統

2.幼獅新廠導入網路零信任架構

3.持續精進網路防護設備管理策略,優化管制作業流程

執行情形

1.入侵防禦系統主動阻斷外部入侵威脅,有效攔阻率達 100%

2.生產機台因資安威脅連網中斷次數0次

3.系統入侵資安事件0次

管理要項
郵件安全控管
作業範圍

1.降低外部資安風險郵件進入同仁信箱

2.保護公司智慧資產、機敏資料不被外洩

實施措施

1.導入進階郵件防禦管理系統

2.持續優化郵件外寄審查機制

3.導入AI技術於外寄郵件稽核管理

執行情形

1.通報進入公司風險郵件數 0件

2.外寄郵件由人工抽樣稽核提升為 AI 100%全檢

管理要項
裝置安全防護
作業範圍

1.保護公司內部資訊設備不受病毒攻擊或惡意侵入

2.保護公司機敏資料不外洩

實施措施

1.已建置防毒軟體保護端點設備(PC/NB、機台電腦)

2.NB/PC設備顯示內容植入浮水印功能,警示資訊外洩事件來源可追朔性

3.系統特權帳號管理系統導入,強化系統帳號管理安全

4.執行資安脆弱性檢測,持續改善系統資安弱點管制項目

執行情形

1.PC/NB端點保護軟體安裝率100%, 資訊服務主機安裝率100%

2.IT/OA設備無病毒感染/入侵案件,機台病毒事件持續改善1件/季

3.納管資訊系統主機、網管設備登入權限,無例外帳號登入事件

管理要項
災難備援應變
作業範圍

1.資料備份完整與合規性

2.系統備援啟動能力

實施措施

1.建置雲端備援系統提升異常應變能力

2.執行災難備援系統及資料復原演練作業

3.優化備援系統切換作業效率,縮短緊急啟用作業時間

4.幼獅新廠雲端備援系統、網路儲存裝置異地備援系統上線

執行情形

1.執行2次機房服務失效情境演練及1次備份資料復原演練,結果符合預期

2.執行1次幼獅新廠地端系統失效情境演練,啟用雲端備援系統及異地備援機制,使關鍵系統服務於預期時間內提供服務

 

 

資訊安全認證: ISO_27001