資通安全風險管理架構
本公司設立有獨立的資訊單位,負責資訊安全及管理並且定期檢視及評估資訊安全防護措施,設立備份機制,並適時的檢視流程並改善或提升電腦軟硬體設備等。
本公司稽核單位為資訊循環之查核單位,若查核發現缺失,即要求受查單位提出改善計畫且定期追蹤改善成效,以降低資訊安全風險。
資安主管 |
↓ |
執行單位(資訊單位) |
↓ |
各處資訊安全單位 |
˙全宇同仁有義務保護公司商業資訊、包括專利、製程、配方及其他智慧財產,禁止任意使用、洩露、竄改或破壞。
˙公司員工未經核准,不得在公司內使用私人或非全宇公司所擁有之電腦、存取設備、及媒體 (如隨身碟、軟、硬碟機、燒錄機、磁片、光碟及任何形式之儲存裝置或媒體)。
˙所有經全宇公司電腦或網路設備所接收、發送或儲存的訊息,均視為全宇公司的資產。
˙禁止將公司業務相關資料、工作檔案、簡報資料、公司內部溝通文件及公告內容經由電子郵件傳送至非相關部門及人員、外部個人信箱及非全宇業務相關之郵件帳號。
˙絕對禁止使用全宇網路及電腦資源入侵他人系統或用來從事娛樂、個人投資理財、或傳播色情圖片、音樂檔案、笑話及其他非業務相關活動。
˙公司同仁有主動保護公司電腦系統資料、維護個人密碼及防制電腦病毒散播之責。
˙公司同仁不得於公司電腦設備上安裝或使用任何違法或未經授權的程式。
資通安全具體管理方案
公司為強化整體資訊安全,持續進行多項資訊安全強化專案與措施,範圍包含:
1.網路資安管控
(1) 備有防火牆,及次世代防毒系統。
(2) 備有智慧防駭系統,如網路防入侵IPS、Email anti phishing、端點設備異常偵測 EDR。
(3) 定期檢視網路服務系統日誌,追蹤異常之情形。
(4) 運用先進加密技術(如憑證或SSL等),增強機敏資料傳輸保障。
(5) 定期對公司資訊設備執行系統弱點掃描,並採取相應強化措施。
2.資料防護管控
(1) 採用多因子認證技術(MFA),強化存取網路資源的身分認證。
(2) 電腦設備造冊專人保管,依據職務賦予適當的存取權限。
(3) 資訊設備報廢前先將所有資料徹底抹除。
(4) 備有關鍵系統資料存取日誌,以利查核追蹤。
(5) 關鍵廠區實作USB封鎖,防止資料外洩保護產線。
3.應變復原機制
(1) 建立系統備份機制,落實雙重與異地備份保護。
(2) 制定緊急應變計劃與定期演練系統復原。
4.宣導及檢核
(1) 新進人員皆須簽定資通安全保密協定。
(2) 定期辦理資訊安全教育訓練及宣導作業,提升員工資安意識。
5.密碼政策及帳號管理
˙本公司帳號的密碼政策參考國際標準,採用國際級的密碼政策,定期變更密碼。
˙系統帳號需經過申請後方能開通使用;員工離職後即停用並刪除其帳號。
˙備有身分識別的資安監控方案,監控暴力破解、登入及使用異常的行為。
投入資通安全管理之資源
公司每年編列預算持續加強及更新資訊安全設備,確保使用與時俱進的資安防護技術以落實資訊安全保護,維持企業持續營運。