資通安全風險管理
2023年資通安全風險管理架構之建置及其執行情形
(一)資通安全風險管理架構
1.資訊安全治理組織
本公司於2021年設立「資訊安全委員會」,負責執行資訊作業安全管理規劃,建置與維護資訊安全管理體系,統籌資訊安全及保護相關政策制定、執行、風險管理與遵循度查核。資訊安全委員會由執行長擔任召集人,資訊部郭沛益協理擔任資訊安全長暨執行秘書,並由公司內各功能單位包含接著劑事業總處、鞋材事業總處、塗料事業總處、營運管理總處、財務管理總處、研發創新總處、人資部、資訊部、法務部、稽核室等最高主管均為委員會成員。另也成立「資訊安全稽核小組」及「資訊安全執行小組」,專責公司資訊安全及實體安全規劃與相關稽核事項,亦主導此委員會運行。
2.資訊安全組織架構
(二)資通安全政策
本公司的資訊安全政策涵蓋本公司及海內外子公司,並以「一、強化資訊安全管理,確保所屬之資訊資產的機密性、完整性及可用性;二、提供本公司資訊業務持續運作之資訊環境;三、符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅」為指導原則。
本公司已導入並建立完整的資訊安全管理系統(ISMS, Information Security Management System),從系統面、技術面、程序面、降低企業資安威脅,建立符合客戶需求的資訊安全保護環境,並不斷地進行「規畫、執行、查核與行動」(Plan-Do-Check-Act, PDCA)的管理循環機制以持續改善。
l 規劃階段--著重資安風險管理,為了強化資訊安全,本公司自2022年導入ISO27001資訊安全管理體系的認證,使資訊系統皆能在標準的管理規範下運作,降低因人為疏失所造成的安全漏洞及生產異常,也透過年度的複審作業,不斷持續改善。
l 執行階段--建構多層資安防護機制,持續導入新資安風險控管技術,以提升各類資安事件之偵測及回應處理程序的效率,並強化資訊安全及網路安全保護流程,以維護公司重要資產的防護。
l 查核階段--定期監控資安管理指標成效,及上述管理系統每年第三方複審稽核,另委由資安廠商執行主機弱點掃描,以確保持續提升資安管理及防禦能力。
l 行動階段--檢討與持續改善,當員工及承商違反資安相關規範及程序時,依據規定進行懲處,並持續進行全員資安教育訓練以提升資安意識。
(三)具體管理方案
1.多層資安防護
為達資安政策與目標,本公司建立「資訊安全防護地圖」採取積極資訊安全強化作業,透過導入次世代防火牆、入侵防禦系統、惡意郵件過濾、作業系統更新、防毒軟體佈署、機密文件加密及端點設備連線管控等安全防禦機制,建立網路分層阻隔機制,依據不同用途之網路服務,各自隔離獨立,並定期更新、修補作業系統及應用程式漏洞,針對重要資料文件落實異地備份,以防堵外部網路攻擊入侵公司內部時造成全面危害。
圖-資訊安全防護地圖
圖-多層資安防護
2.檢討與持續改善
透過內部之風險管理機制,評估資訊系統相關風險,並定期於經營管理會議報告風險控制及改善狀況,以控制及降低相關網路風險。
每年透過資訊安全教育訓練課程的進行,提升同仁資訊安全意識,另定期以電子郵件方式宣導資安政策及資訊安全知識,以及不定期於週會舉辦專題演,以降低員工錯誤點擊惡意郵件之風險,定期更新、修補作業系統及應用程式漏洞,重要資料文件落實異地備份。
(四)投入資通安全管理之資源
l 資通安全認證--2022年6月通過ISO27001資訊安全認證,並持續於2023年進行複驗,相關資安稽核無重大缺失,證書有效期限為112年7月13至114年7月22日。
l 教育訓練--2023年總部新進員工27人全數完成1小時資訊安全職前教育訓練課程;另集團於11月執行5次社交工程釣魚郵件測試,演練人數共計500人。
l 資安宣導--每月2次電子郵件公告資安政策宣導;2023年9月27日週會安排「洞察企業內部資安風險」專題講座,傳達資安防護重要規定與注意事項。
l 客戶滿意--2023年無違反客戶資料遺失之投訴案件。
(五)資通安全事件
|
事件說明 |
損失金額 |
因應對策及改善措施 |
支出金額 |
|
1、日期:2023年04月 2、情況:駭客組織針對VMware虛擬化平臺之 CVE-2021-21974漏洞發動勒索軟體攻擊,導致台灣/大陸/馬來西亞子公司的ERP、集團郵件伺服器及其他子系統資料被加密而無法使用。 3、影響:此次資安事件發生原因係針對VMware之未修補漏洞,因相關資料皆有落實異地備份,初步評估未對資料完整性和機密資訊造成影響,本公司已採取改善措施,並額外編列適當預算強化資訊技術安全。 |
0 |
1、啟動資安復原緊急處理小組,並由廠商 支援配合,於事件發生後三天復原完成。 2、針對集團VMware6.0版ESXi伺服器更新 至8.0版,確實修補補漏洞。 3、更新OS作業系統主機修補程式 (Patch)。 4、新增第二備份空間、異地備份空間擴充 及快照儲存系統。 |
7,855,000 |
Ø 2023年度資訊安全風險管理架構之建置及其執行情形已於2023年12月20日提報董事會。
|
資安事件管理情形 |
2023 |
|
違反資安事件總數 |
0 |
|
資安事件中,涉及影響客戶個資事件數量 |
0 |
|
受資安事件所影響的客戶總數 |
0 |
|
違反資安事件相關的罰款總額 |
0 |