資訊安全政策

本公司於2020年成立資訊安全管理委員會,由總裁擔任資安長及集團總召集人,帶 領集團對資訊安全制度精進並強化防禦能力,所有資訊作業皆需符合國內、外資訊安 全法規,以及國際資安相關標準。
管理架構
  • 一、 為提升資訊安全管理,本公司於109年11月18日召開資訊安全管理委員會、成立資訊安全相關組織,並定期向董事會報告資安治理概況。
  • 二、 109年執行情形:2020年9月設置獨立之資安專責單位「資安防護部」,負責集團資訊安全治理、規劃、督導及推動執行。2020年11月由總裁召集成立「資訊安全管理委員會」,負責審視集團各事業資安治理政策,監督集團資安管理運作情形。2020年12月通過資訊安全政策與資訊安全組織章程。成立資訊安全推動小組、資訊安全處理小組、資訊安全稽核小組,以協助集團各事業單位資訊安全相關工作的推展,資訊安全事件處理與資訊安全各項工作執行的稽核,以集團風險管控角度建構出全方位的資安防衛能力,並持續提昇同仁資訊安全意識。
資訊安全管理委員會組織架構
建置步驟
資安政策

本集團資安政策主軸聚焦資安治理、法令遵循及科技運用等三個面向進行評估與規劃。分述如下。

項目 要點 說明
資安治理
  • 落實PDCA循環式品質管理
  • 建立資訊安全相關管理制度
  • 風險管理與持續改善

建立符合資訊安全管理制度,包含資訊安全組織建立,強化教育訓練,資訊安全系統盤點與調整,以建構及深化保護技術。

法令遵循
  • 定期審查並適時修訂資安相關
    規範
  • 建立合規循環機制

建立合規循環機制、定期檢視及修訂內部作業規範,以符合國際法規及個海外地區法令。

科技運用
  • 風險評鑑&資產保護
  • 資安邊界審查&應變對策
  • 自動化威脅&防護機制佈署

盤點資訊安全系統弱點,並調整與強化現有防護架構,運用數據分析與鑑識技術,及早發現風險作出安全策略。

資訊安全事件
109年6月6日集團非核心資通系統遭駭客入侵。事件發生當下,立即啟動相關應變措施及通報利害相關方及檢調單位, 此資安事件所帶來的衝擊已於公司容許時限內處理完成、未影響本集團企業營運。
資訊安全執行
  • 一、 完成新竹總公司資訊機房的實體安全提昇工程,包括機房內外牆強化、增設監控系統、移動偵測系統及消防…等工程。
  • 二、 已購置的軟、硬體設備,分別有昇級防火牆設備、具深度學習能力的無特微碼入侵防護辨識系統,阻擋勒索軟體與開機記錄攻擊、資產及端點管理並限制USB Port存取的管理軟體,以管理移動存儲裝置、針對虛擬、實體、雲端及容器等混合環境的混合雲防護軟體、企業內網設備連線可視化管理系統,掌握內部網路資訊設備、伺服器資安鑑識視覺化智能分析系統,分析異常入侵行為,以強化資安並提昇公司資安能力。。
  • 三、 即將購置的軟、硬體設備,分別有強化資安防禦軟體、虛擬桌面雲系統使資料不落地並隔絶內外網路存取可能、跨同平台備援設備、虛擬容器建置軟體強化基礎境架構、郵件資料備份軟體、程式編碼原始碼檢測工具等。
  • 四、 本公司預計110年取得ISO 27001:2013(ISMS)資訊安全管理系統國際認證。
"