資通安全風險管理
2024年資通安全風險管理架構之建置及其執行情形
(一)資通安全風險管理架構
1.資訊安全治理組織
本公司於2021年設立「資訊安全委員會」,負責執行資訊作業安全管理規劃,建置與維護資訊安全管理體系,統籌資訊安全及保護相關政策制定、執行、風險管理與遵循度查核。資訊安全委員會由執行長擔任召集人,資訊部郭沛益協理擔任資訊安全長暨執行秘書,並由公司內各功能單位包含接著劑事業總處、鞋材事業總處、塗料事業總處、營運管理總處、財務管理總處、研發創新總處、人資部、資訊部、法務部、稽核室等最高主管均為委員會成員。另也成立「資訊安全稽核小組」及「資訊安全執行小組」,專責公司資訊安全及實體安全規劃與相關稽核事項,亦主導此委員會運行。
• 資訊安全管理委員會負責制定資訊安全管理政策及管理辦法,定期檢討修正。
• 資訊安全管理委員會定期召開檢討會議,確保管理機制之運行順暢,並每年定期向董事會報告。
• 資訊部下設資訊安全長及資安主管、人員,統籌所有資安相關政策、推行、及資安防禦架構的規畫建置。
2.資訊安全組織架構
(二)資通安全政策
本公司的資訊安全政策涵蓋本公司及海內外子公司,並以「一、強化資訊安全管理,確保所屬之資訊資產的機密性、完整性及可用性;二、提供本公司資訊業務持續運作之資訊環境;三、符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅」為指導原則,以達成以下目的:
• 確保公司資訊的機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),管理制度與流程的合規性(Regulation Compliance)。
• 從組織、人員、流程、技術四大面向強化縱深防護能力,強固核心資通系統之韌性,確保持續營運。
• 定期因應內外在資通安全情勢變化,檢討風險管理措施及資安事件應變處理作業程序之有效性。
• 落實機敏資料保護及資料備份/還原作業,避免因人為疏失、或蓄意作為、或自然災害,資訊資產遭致不當使用、竄改、毀損等,影響業務運作,造成公司權益及競爭力之損害。
• 不論客戶是在哪一個地區或國家,不論該地區有否立法,妥善保護客戶資訊及隱私。
為進一步強化資訊安全管理,本公司已導入並建立完整的資訊安全管理系統(ISMS, Information Security Management System),從系統面、技術面及程序面降低企業資安威脅,建立符合客戶需求的資訊安全保護環境,並於2022年取得ISO 27001認證,目前證書之有效期為2022年07月22日至2025年07月22日。透過此資訊安全管理系統之建立及落實PDCA (Plan-Do-Check-Act),繼續強化資訊安全日常管理及異常事件應變處理能力,保護公司資訊資產安全,確保公司之競爭力。
l 規劃階段--著重資安風險管理,為了強化資訊安全,本公司自2022年導入ISO27001資訊安全管理體系的認證,使資訊系統皆能在標準的管理規範下運作,降低因人為疏失所造成的安全漏洞及生產異常,也透過年度的複審作業,不斷持續改善。
l 執行階段--建構多層資安防護機制,持續導入新資安風險控管技術,以提升各類資安事件之偵測及回應處理程序的效率,並強化資訊安全及網路安全保護流程,以維護公司重要資產的防護。
l 查核階段--定期監控資安管理指標成效,及上述管理系統每年第三方複審稽核,另委由資安廠商執行主機弱點掃描,以確保持續提升資安管理及防禦能力。
l 行動階段--檢討與持續改善,當員工及承商違反資安相關規範及程序時,依據規定進行懲處,並持續進行全員資安教育訓練以提升資安意識。
(三)資訊安全管控措施
1. 人員資安意識教育訓練
定期實施資訊安全教育訓練及宣導課程,並錄製線上教育訓練課程,以提高公司同仁對資訊安全之認知及正確行為。
A. 訓練課程:2024年總部新進員工19人全數完成1小時資訊安全職前教育訓練課程;資安主管及資安人員預計於2024年12月1日至2025年2月28日參與證交所舉辦之「2024年上市(櫃)公司資安人員資通安全影音課程」。
B. 宣導課程:每月2次電子郵件公告資安政策宣導;2024年1月3日週會安排「資安常識宣導」,傳達資安防護重要規定與注意事項,共計487人次參與,時長為122小時;另集團於12月執行3次社交工程釣魚郵件測試,演練人數共計500人。
2. 資訊系統安全管理
A. 公司主機伺服器、個人電腦及筆記型電腦統一安裝防毒軟體,自動更新病毒碼,並定期檢視更新狀況;並配置端點偵測及回應軟體,監控異常行為。
B. 公司主機伺服器、個人電腦及筆記型電腦及時派送系統安全性漏洞的修補程式,確保安全性修補作業完善。
C. 郵件系統建置資安模組,包含垃圾郵件過濾功能、惡意郵件偵測功能、郵件備存稽核等管理功能,提升整體郵件資訊安全。
D. 應用系統及資料庫,每日進行資料備份,符合3/2/1資料備份原則,3份備份、2種媒體儲存、1份異地存放,每年定期實施系統資料還原演練作業,並監控每日備份結果,以確保資料儲存安全性。
E. 各部門移除管理者權限,使用公司授權之合法軟體,並遵守相關法令規定,非經合法授權及與業務無關之軟體,無法安裝使用,以確保公司軟體授權合規性,並降低使用非法軟體感染病毒、後門程式之風險。
F. 資訊系統業務委外時,於事前審慎評估可能潛在安全風險,並與廠商簽訂適當的資訊安全保密協議。
G. 每年進行資訊安全內部稽核,及接受ISO27001外部稽核,確保管理程序的落實及改善。
3. 網路安全管理
A. 公司對外服務應用系統以防火牆與外部網際網路隔離,並限制存取端口阻斷惡意連線,並定期檢視異常連線報告。
B. 公司對外網路佈署防火牆,過濾所有進出封包流量,針對違反網路安全之流量進行阻絕,並定期檢視異常報告進行分析處理。
C. 管控員工私人電腦設備,針對非公司合法電腦裝置進行偵測及阻絕,以避免私人設備接入公司網路竊取公司機密資料。
D. 建置內部防火牆,達成防禦縱深目標,保護公司各部門重要資訊,避免遭受外部駭客惡意攻擊,並進行應用程式存取控管。
4. 系統存取控制
A. 員工新進、調整職務及離職時,需上系統提出申請,通知資安人員執行使用者之新增、調整或刪除其使用權限,確保系統存取安全。
B. 資訊系統必需設定帳號密碼,使用者通行密碼應符合安全原則,密碼需符合長度及複雜度之原則,並要求使用者定期更改系統密碼。
C. 內部應用系統依照人員工作需求,由使用者登入系統提出IT服務申請,再經由相關主管進行審核,最後由資訊部人員進行系統權限設定。
D. 針對廠商系統建置及維護作業,限制其可接觸之系統權限範圍,並嚴禁核發長期性之系統帳號、密碼。基於實際作業需要核發短期或臨時性之系統帳號、密碼供廠商使用,需先登入系統申請並於使用完畢後,立即取消其使用權限。
5. 資安永續運作與管理
A. 成立資訊安全委員會,負責資安政策、管理辦法之建立及推行,審議資安問題與因應對策,並要求全體員工確實遵守,維護公司資訊安全;日常的資安維運由資訊部負責。
B. 已於2022年取得ISO 27001:2013認證,子公司越南寶亦於2024年取得新版ISO 27001:2022認證,藉由管理程序的完整規範及落實,進一步強化資安管理系統,以保護公司及客戶資訊資產安全;每年接受外部稽核以確保管理程序的落實及持續改善。
C. 符合金管會於「公開發行公司建立內部控制制度處理準則」第九條之一規定,本公司屬於第二級上市(櫃)公司分級標準,已於2022年完成配置資安專責主管及資安專責人員共2人。
D. 訂定及執行資安日常監控作業流程,若發生資訊安全事件,依照制訂的資訊安全事故管理程序,迅速通報相關單位主管及資安人員,進行適當處置及快速進行復原作業。
E. 資訊安全委員會定期評估資安風險造成損失之可能性,必要時投保適當之資安保險,以降低資安事件產生之風險與損失。
(四)投入資通安全管理之資源
本公司為建構具有防禦縱深的資安防護機制,以避免因資安問題所造成的業務中斷風險,確保公司的業務持續運作,有效支持公司的營運績效。就資安的防禦縱深來看,可分為網路、端點、資料、雲端等防禦的層次,資安相關資源投入在各層次的強化包括--
• 防火牆之建置、非公司電腦設備連線阻絕、加密憑證的強化,建立符合資安規範的居家辦公(WFH)連線架構。
• 落實伺服器及使用者端的軟體漏洞修補作業、管制端點間資料分享的管道以阻絕病毒擴散、建立重要系統服務的Storage HA架構以保障服務的可用性。
• 建置端點偵測及回應機制,有效監控端點的異常行為,判斷是否有駭侵事件,並及時處置、避免風險。
• 強化備份設備,落實3/2/1備份作業及災難還原(DR, Disaster Recovery)演練、規劃機敏資料保護平台的導入。
依循ISO27001管理程序,除了強化資安的管理系統外:
• 排定每年執行弱點掃描作業,針對檢測結果中的高風險項目進行改善,透過強化措施持續提升資安防護品質。
• 對於提升員工的資安意識,避免個人電腦遭受駭侵釣魚郵件的滲透,排定社交工程演練,以量測員工的資安警覺性,並施以相應的資安教育。
此外,為了及時掌握資安情資,本公司已加入TWCERT/CC (https://www.twcert.org.tw/)企業會員,以取得透過國內外資安組織與機構之資安聯防的資源及經驗分享。
Ø 本公司已於2024年12月3日召開資通安全委員會,並於2024年12月18日向董事會報告2024年度資訊安全風險管理架構之建置及其執行情形。
|
資安事件管理情形 |
2024 |
|
違反資安事件總數 |
0 |
|
資安事件中,涉及影響客戶個資事件數量 |
0 |
|
受資安事件所影響的客戶總數 |
0 |
|
違反資安事件相關的罰款總額 |
0 |