企業永續發展

企業永續發展

風險管理

永續願景及政策 環境永續 ESG案例 推動永續發展計畫 風險管理 報告書下載

風險管理執行情形

年度 標題 檔案
2022 風險管理

 

氣候變遷風險及機會之管理(TCFD)

年度 標題 檔案
2022 氣候變遷管理

 

資訊安全風險管理架構

本公司資訊安全之權責單位為資訊室,負責規劃、執行及推動資訊安全管理事項,並定期透過教育訓練提升人員資訊安全意識,另會計師定期派員查核本公司資訊系統

資訊室主管需不定期向總經理彙報資訊安全執行狀況,並每年定期向董事會報告資訊安全執行成果。

組織運作模式-採 PDCA(Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善。

資訊安全政策

為落實本公司各項資訊資產能有效運作執行,確保資訊傳輸交易安全,降低資訊安全事件造成之損害,並保障公司電腦處理資料之機密性與完整性,定義員工責任及應遵守的安全規則、權限管理、資安事件通報程序、資訊交換程序,本公司資訊安全管理機制,包含以下三個面向:

一、制度規範:訂定公司資訊安全管理制度,規範人員資訊安全行為。

二、科技運用:建置資訊安全管理設備,落實資安管理措施。

三、人員訓練:進行資安教育訓練,社交工程演練,提昇全體同仁資安意識。

具體執行方案

類別 說明 相關措施
權限管理 人員帳號、權限管理、與系統操作行為之管理措施

●人員帳號權限管理與審查。

●特權帳號兩階段認證。

存取控制 人員存取內外部系統、及資料傳輸管道之控制措施

●內/外部存取管控措施

●人員遠端存取行為限制

●外接儲存裝置管制

外部威脅 防毒、防駭措施

●定期掃毒與偵測惡意程式

●設置次世代網路防火牆

●端點防護

營運維持 系統可用狀態、與服務中斷時之處置措施

●系統/網路可用狀態監控及通報機制

●服務中斷之應變措施

●資料備份備援措施、本/異地備援機制

●定期災害還原演練

資安事件通報程序

111年度執行情形如下:

一、汰換無法更新漏洞主機:
1.公司現有約316台電腦、103台筆電、225精簡電腦,汰換2台近10年的電腦。
2.汰換埔心、北營防火牆,共4台。其餘廠區升級韌體並調整策略。

二、漏洞及軟體更新(統計資料:今年01.01~12.08)
1.防毒版本更新次數:20次。
2.Windows10安全性更新次數:76次。
3.因微軟停止Windows7漏洞更新,公司Windows7共293台。已完成272台升級到Windows10,還有21台還未升級。
4.Exchange漏洞修補次數:9次。其中4次零時差修補,皆第一時間完成。
5.Chrome零時差漏洞修補次數:7次。

三、資安防護(統計資料:今年01.01~12.08)
1.已知病毒攻擊共971次,其中20%是惡意攻擊病毒。
2.未知病毒攻擊共661次,其中20%危險等級高。

四、加強防護
1.導入SOC監控服務 (Security Operation Center):透過AI分析關聯網路行為、依據最新的資安威脅情報,調整防護策略。
2.增加雙因子認證服務範圍:伺服器主機、重點使用者電腦及VPN。

五、教育訓練
1.資訊同仁共3人取得資策會資安初級工程師證書(iPAS)。
2.社交工程演練每次針對公司300個使用者帳號作演練,並請專家進行1次資安講習宣導,各單位派出種子人員進行上課,共21人次計42小時。

六、今年無重大資安事件。

112年度預計執行計畫

1.導入ISO 27001,預計7月前實地訪查,9月前取得證書。
2.委請資安廠商進行弱點掃描與滲透測試。
3.內網導入零信任架構。