景碩依「內外部利害關係方」之關注事項,參照國際資安管理作業、個人資料保護等標準及法令規定,訂定本公司「資訊安全管理制度」,確保本公司資通訊基礎設施、資訊系統符合機密性、完整性、可用性及合法性要求。並以持續改善PDCA循環流程管理模式,整合及強化資訊安全管理體系。2024年資訊安全管理執行情形已由管理委員會召集人於2024年12月30日向董事會報告。
本公司執行長指派資訊安全管理代表在公司內部成立資訊安全管理委員會,負責擬定本公司之資訊安全管理政策。並設置資訊安全管理專責單位、主管及人員,負責資訊安全推動及管理。
圖一、資訊安全管理委員會
本公司資訊安全管理政策為「提供可信賴的資訊安全管理作業環境,確保公司業務持續正常運作,達成公司資訊安全管理目標。」經執行長審查核可後,發佈實施。
(1) 落實本公司資訊安全管理政策。
(2) 導入資訊安全管理制度。
(3) 提升本公司資訊安全管理之素養。
(4) 強化本公司資訊安全管理應變能力。
(5) 達成資訊安全管理政策量測指標。
本公司之資訊安全管理目標為「確保組織業務相關資通訊系統之機密性、完整性與可用性,並提供持續可用之服務。」為確保本公司資訊安全管理制度之實施,能夠達成公司營運之需要,各項作業流程應根據本公司資訊安全管理目標,應定期檢視與評估及修正。
1.優化資訊安全政策與優化資安作業規範
2.資安政策/規範宣導與教育訓練
1.資訊安全管理辦法(ISMS)生效與實施,並取得ISO27001資訊安全管理系統認證
2.持續優化ISO27001資訊安全管理系統,並進一步提升雲服務資訊安全、組態管理等面向管控措施
3.持續實施新進員工資安訓練,透過EIP入口網頁、螢幕保護程式推廣主題式資安意識宣導
4.執行社交工程演練,強化同仁資訊安全安意識
1.通過ISO 27001國際認證有效性年度審查
2.逾1600位新進員工完成新人訓之資訊安全宣導,測驗通過率100%
3.實施資安政策、威脅辨識與行動辦公等議題共4次主題宣導
4.執行2次社交工程演練
1.保護網路運行順暢
2.防止駭客入侵破壞
1.建置多層次資安防禦與偵查監管系統,持續精進網路防護設備管理策略,優化管制作業流程
2.強化供應商協作資安防護,建置專案開發環境監控系統和雲端防火牆
3.強化內部營運系統資安防護完成核心系統防火牆建置
1.入侵防禦系統主動阻斷外部入侵威脅,有效攔阻率達 100%
2.生產機台因資安威脅連網中斷次數0次
3.廠商資安違規事件0次
4.系統入侵資安事件0次
1.降低外部資安風險郵件進入同仁信箱
2.保護公司智慧資產、機敏資料不被外洩
1.導入進階郵件防禦管理系統
2.導入AI技術於外寄郵件稽核管理
3.持續優化郵件外寄審查機制
4.AI審查模型精進提升精準度及效率
1.自動攔阻可疑詐騙信件190封/月
2.通報進入公司風險郵件數 0件
3.違例使用檢出 0件
1.保護公司內部資訊設備不受病毒攻擊或惡意侵入
2.保護公司機敏資料不外洩
1.已建置防毒軟體保護端點設備(PC/NB、機台電腦)
2.NB/PC設備顯示內容植入浮水印功能,警示資訊外洩事件來源可追朔性
3.強化主機系統資安保護,建置檔案存儲防勒索系統
4.執行資安脆弱性檢測,持續改善系統資安弱點管制項目
1.PC/NB端點保護軟體安裝率100%, 資訊服務主機安裝率100%
2.IT/OA設備無病毒感染/入侵案件,機台病毒事件持續改善0件/季
3.納管資訊系統主機、網管設備登入權限,無例外帳號登入事件,檔案勒索加密事件0件
4.執行2次脆弱性檢測,持續依計畫執行修補改善
1.資料備份完整與合規性
2.系統備援啟動能力
1.建置雲端備援系統提升異常應變能力
2.執行災難備援系統及資料復原演練作業,持續優化備援系統切換作業效率,縮短緊急啟用作業時間
3.建置幼獅新廠智慧製造執行系統災難備援系統
4.建置跨廠備援光纖,優化架構
1.執行3次機房服務失效情境演練及核心系統備援切換演練,復原時間目標(RTO)提升50%
2.執行1次幼獅新廠智慧製造執行系統失效情境演練,成效符合預期
3.發生1次跨廠光纖異常,服務無中斷自動切換備援線路,營運未受影響
