資通安全管理
(一)資通安全管理策略與架構
企業資訊安全治理組織: 本公司於民國101年成立「資訊安全小組」,並由資訊部部經理擔任召集人,負責資訊安全制度相關事項之決議及建立資訊安全管理架構之安全責任。
於111年03月31日公告設立資安長、資安專責主管及資安專責人員(2員),更於113/1/3修訂資訊安全組織管理程序書更清楚描述專責人員職務設定原則及其負責職掌。
企業資訊安全組織架構: 本公司「資訊安全小組」,組織架構執掌如下:
1.資安維運組: 負責資訊安全管理事項之規劃及推動。
2.資安稽核組: 負責資訊安全管理稽核之規劃、執行及改善措施跟進。
3.緊急處理組: 負責營運持續規畫及演練,與災害發生時之應變作業。
「資訊安全小組」持續進行以下工作:
企業資訊安全治理組織: 本公司於民國101年成立「資訊安全小組」,並由資訊部部經理擔任召集人,負責資訊安全制度相關事項之決議及建立資訊安全管理架構之安全責任。
於111年03月31日公告設立資安長、資安專責主管及資安專責人員(2員),更於113/1/3修訂資訊安全組織管理程序書更清楚描述專責人員職務設定原則及其負責職掌。
企業資訊安全組織架構: 本公司「資訊安全小組」,組織架構執掌如下:
1.資安維運組: 負責資訊安全管理事項之規劃及推動。
2.資安稽核組: 負責資訊安全管理稽核之規劃、執行及改善措施跟進。
3.緊急處理組: 負責營運持續規畫及演練,與災害發生時之應變作業。
「資訊安全小組」持續進行以下工作:
- 配置適當人力資源及設備,負責資訊安全制度之規劃、監控及執行資訊安全維護作業。
- 112/12/4風險管理小組向董事會報告風險管理執行成果,資安風險之執行及運作包含在風險控管項目之一,風險管理小組每半年追蹤資安風險控管情形。
- 每年定期檢討資安政策,於112/9/14內部之管審會討論資安政策,決議事項:「本年度資訊安全政策無須異動」。
(二)資通安全政策
企業資訊安全管理策略: 本公司已於民國101年建立資訊安全管理體制,建構資訊安全管理四階管理文件,作為公司現行的資訊安全管理作業之依據,此管理作業並符合ISO/IEC 27001:2013資訊安全管理標準,並取得公證第三方之認證,102/4/16開始取得認證,前認證有效期限為108/4/16~111/4/16,重新認證效期為111/4/24~114/4/16。訂定並公告資訊安全政策,依據ISO27001建立資訊安全管理體系並成立資訊安全小組,強化資安防護,並落實執行資訊安全風險評鑑及管理作業,確保公司資訊資產的機密性、完整性、可用性及個人資料的保護。
企業資訊安全管理策略: 本公司已於民國101年建立資訊安全管理體制,建構資訊安全管理四階管理文件,作為公司現行的資訊安全管理作業之依據,此管理作業並符合ISO/IEC 27001:2013資訊安全管理標準,並取得公證第三方之認證,102/4/16開始取得認證,前認證有效期限為108/4/16~111/4/16,重新認證效期為111/4/24~114/4/16。訂定並公告資訊安全政策,依據ISO27001建立資訊安全管理體系並成立資訊安全小組,強化資安防護,並落實執行資訊安全風險評鑑及管理作業,確保公司資訊資產的機密性、完整性、可用性及個人資料的保護。
(三)資訊安全風險管理架構
本公司定期依資訊安全風險評鑑與管理作業程序執行資安風險管理,辨識及分析資安風險與評估其等級,若超過可接受等級將採取風險處理及改善措施,以降低可能面臨之風險,並依循PDCA的管理循環以確保資安目標之達成,進而促使資安持續改善。
規劃(Plan)─ 資安風險管理
本公司定期依資訊安全風險評鑑與管理作業程序執行資安風險管理,辨識及分析資安風險與評估其等級,若超過可接受等級將採取風險處理及改善措施,以降低可能面臨之風險,並依循PDCA的管理循環以確保資安目標之達成,進而促使資安持續改善。
規劃(Plan)─ 資安風險管理
- 企業資訊安全風險評估
- 資訊安全風險管理與對策制訂
- 遵循資安國際標準(ISO27001)
執行(Do)─ 多層資安防護
- 資訊資產管理
- 存取控制
- 實體與環境安全管理
- 網路安全管理
- 資訊安全事故管理
檢查(Check)─ 監控資安管理成效
- 資訊安全持續監控
- 資訊安全指標量化
- 資訊安全弱點掃描
- 資訊安全內部稽核
- 通過資安國際稽核認證
行動(Act)─ 檢討與持續改善
- 資訊安全措施檢討改善
- 資訊安全教育訓練與宣導
(四)具體管理方案
- 已通過ISO27001驗證,證書持續有效中
- 每月定期員工資安意識加強
- 內網ServerFarm防火牆啟用
- 防火牆AntiVirus & IPS Updates
- 防範惡意電子郵件社交工程演練
- 廠區間的內網連線導入SD-WAN
- 針對資訊部重要管理者電腦與伺服器系統主機安裝MDR
- 對外網頁弱點掃描
- 重要主機、網路設備弱點掃描
- 防毒軟體版本升級
- DR演練
- AD Server升級
- Oracle資料庫升級
- 持續關注與因應TWCERT的資安情資分享
- 持續升級Forti網路防火牆設備的版本,提升網路資案防護力
(五)投入資通安全管理之資源
- 資安案例分享及強化資安意識宣導:資安案例分享8次,資安宣導12次(每月),員工開機畫面資安提醒(每日)
- 軟體盤點:每年一次,以保證合法使用授權軟體及防範惡意軟體。
- 端點防護:每週檢查病毒碼更新,每週檢查微軟作業系統更新。
- 威脅偵測應變服務:伺服器系統主機全面導入MDR。
- DR演練:定期備份資料回復測試至少每半年1次,核心系統定期災難復原演練每年1次。
- 主機弱掃:每年兩次主機弱掃,修補資安漏洞。
- 3W網站(統一企業員工入口網)公告:按資安最新案例不定期公告提醒及教育員工注意。
- 資安相關重要會議:管審會2次,資安小組會議4次。
- 資安人員總數:4人(資安長 * 1、資安專責主管 * 1、資安專責人員 * 2)
(六)民國112年企業資訊安全措施推動執行成果
- 資安認證: 111/3/18經外部單位實地審查結果,符合ISO/IEC 27001:2013資訊安全管理標準,證書有效期111/4/24~114/4/16。112/3/14經外部單位實地定期審查,證書持續有效中。
- 新增修訂資安規範共8份。
- 統一ISMS_資訊安全組織管理程序書_2_001_v2.5
- 統一ISMS_網路安全管理作業程序書_2_011_v2.5
- 統一ISMS_資料庫管理作業說明書_3_002_V1.4
- 統一ISMS_帳號及密碼管理作業說明書_3_004_V1.4
- 統一ISMS_電腦病毒防範作業說明書_3_007_V2.1
- 統一ISMS_備份作業說明書_3_009_V2.1
- 統一ISMS_資訊設備暨媒體管理作業說明書_3_016_V2.6
- 統一ISMS_可攜式設備與媒體使用申請單(內部) _4_042_廢止
- 3.112年資安教育訓練時數共計3825小時1628人次。
(七)重大資通安全事件
112年11月進行資安風險評鑑作業,評鑑結果112年本公司並無影響營運風險的重大資安事項。
第 二十 條、六、(五)科技改變(包括資通安全風險)及產業變化對公司財務業務之影響及因應措施。
112年11月進行資安風險評鑑作業,評鑑結果112年本公司並無影響營運風險的重大資安事項。
第 二十 條、六、(五)科技改變(包括資通安全風險)及產業變化對公司財務業務之影響及因應措施。
1.科技改變(包括資通安全風險)變化對公司財務業務之影響及因應措施
- 本公司相當重視產業變化的趨勢與科技發展之關係,並致力於推展資訊科技之應用,如:導入國際級企業資源整合系統(Oracle ERP),及後續ERP相關系統等的優化持續進行,同時也成功的自力開發完成網際網路版之商物流銷售系統並全面的導入到各經銷單位,以利隨時掌握產品銷售脈動;並引進PDA等手持裝置及網路訂貨作業,與開發行動業務系統(MSM),以節省經銷單位日常打單工作並快速及正確掌握末端銷售數據;同時也透過共享服務的概念,協助國內外關係企業資訊化的應用,以提高企業經營績效和降低其資訊軟硬體之投資;透過金流系統的開發與整合運用,大幅縮短帳款作業流程及時間,並消除壞帳問題;建置資料倉儲系統提供即時決策分析所需資訊,規劃建置共享平台以匯集全公司數據、資訊與知識,以利資訊整合、分享及經驗傳承;協助製造部門導入製造執行系統(MES)與倉儲管理系統(WMS)確保製程正確投料,以及開發入貨履歷相關系統、引進批號條碼M化機制,串接整個從原物料源頭到產出之批號管理,構築完整之食品安全追蹤追溯系統,落實食品安全政策,避免食安事件對消費者及公司之衝擊;食品履歷資訊上拋公有雲,提供消費者查詢;設立視訊會議系統,架設網路電話、全省網路骨幹以Internet VPN取代專線佈建及主機虛擬化,積極有效的運用人力及資訊技術,以達到降低成本及提升企業競爭力之雙重目標。
- 資通安全風險與因應措施: 本公司已經建立全面的網絡與電腦相關資安防護措施,避免來自任何第三方的網絡攻擊造成公司製造營運及會計等重要企業功能之電腦系統癱瘓。為了預防惡意軟體及降低此類攻擊所造成的傷害,本公司落實相關改進措施並持續更新,強化網路防火牆與網路控管以防止電腦病毒擴散;建立一個整合的自動化資安維運平台,並定期執行員工警覺性測試及委託外部專家執行資安評鑑。