公開資訊觀測站
資通安全管理
資通安全管理
為強化敬鵬工業致力推動產業數位轉型、集團永續經營、員工個人資料及營業秘密之保護,提供可信賴之資訊通訊服務,將全面導入資通安全管理機制以確保資訊資產之機密性、完整性及可用性、以及資訊相關系統、設備與網路之安全性。另為確保公司員工、客戶之權益及合作夥伴之權益,並符合資通安全管理法及其子法之規範,以維持市場公平競爭之環境。故進行跨部會研商會議,共同制定企業永續經營-資通安全管理報告書,做為本集團資通安全管理最高指導方針。
資通安全對象,適用於所有集團員工、客戶、供應商及股東集團以及營運相關營業秘密。其中包含商業性營業秘密及技術性營業秘密、接觸本集團業務資訊或提供服務之廠商及第三方人員。為確保本公司資通安全,制定相關規章制度,應用技術和數據安全標準化制定,並納入公司治理營用管理運作體系,以保障員工、供應商、合作夥伴和客戶進行業務接洽時之隱私權保護與資訊安全維護。
資通安全風險架構
(1) 由本公司總經理召集成立跨部門設置資通安全委員會,其中包含資通政策規劃小組,負責主導及規劃,各業務相關單位配合執行。資通稽核小組,定期審核、追蹤、稽核集團內部資通政策、規劃,負責督導內部資通安全執行狀況。資通緊急應變小組。負責各單位資通事故之應變處理。本委員會負責制定資訊安全管理政策,定期檢討修正,並定期召開會議檢討執行情形,並每年定期向董事會報告執行情形與檢討,以降低內部資通安全風險。
(2) 本集團資訊處為資通安全之權責單位,並設置資安長、資通安全主管,與專業資通安全人員,負責訂定集團內部資通安全政策、規劃暨執行資通安全防護與資通政策推動與落實,定期公佈公司資通治理概況,並定期向本公司資通安全委員會定期匯報。
資通安全政策目標
為確保本公司營運業務持續運作,且本公司提供的資通服務可穩定使用。並確保本公司所保管的資訊資產之機密性、完整性與可用性,另保障人員資料之隱私。將建立資通業務永續運作計畫,執行符合相關法令或法規要求之資通業務活動運作,下列為政策規劃目標
(1) 確保集團業務相關資訊之機密性,保障營業秘密與個人資料安全。
(2) 確保集團業務資訊完整性及可用性,提高行政效能與品質。
(3) 厚植自我資安防護能量,配合政府政策,提昇資通安全防護能力。
(4) 符合國家法令與集團內部規範,保障集團資通安全,達成集團永續經
營之目標
資通安全策略與審查
(1) 應完備集團基礎資通安全環境,建立相關程序,完備集團資通安全內規修訂,確保集團資訊資產之機密性、完整性及可用性。
(2) 強化集團基礎通訊網路韌性及安全,並依資通安全責任等級分級辦法之規定執行各項應辦事項,建立集團資通治理模式。
(3) 建構集團資通聯防體系,強化關鍵基礎建設及防護,建立跨域資通聯防機制。除要求委外供應商依資通安全相關規定外,另對複委託廠商進行適當之監督與管理。
(4) 精進駭客攻擊防範機制,建立資通安全事故通報應變機制,以確保資通事故妥善回應、控制及處理。
(5) 定期執行資通安全稽核作業,定期檢視資通安全管理制度範圍內所有人員及設備使用情形。提升集團資通自主能量以確保資通安全管理落實執行。
(6) 定期教育訓練及不定期機會宣導,提升員工資安意識。
(7) 集團資安人才專業培訓規劃,成立集團資通安全委員會及集團資通組織部門規劃。
(8) 資通政策由資訊長核定,每年至少評估一次,並定期會報資通安全委員會。若組織有重大變更時(如組織調整、業務重大異動等),重新評估資通政策。依評估結果、相關法令、技術及業務、稽核等最新現況,予以適當修訂。
資通安全控制措施
(1) 依循ISO 27001 的基礎架構規範,依照此標準實施「Plan-Do-Check-Act」 (PDCA)之循環運作規範,建立資訊安全標準實施作業,各項安全維護措施以PDCA循環可區分如下:
a. Plan 規劃:
建立管理資通安全風險之政策及目標及制定資通安全作業程序,且評定控制有效性。
b. Do執行:
定期針對集團資通安全政策管理審查及內部稽核,有效性量測集團資通安全作業,並進行集團資通安全風險分析及評鑑。
c. Check查核:
依據執行的成果檢查與預計目標的差異資通安全稽核機制必要之使用紀錄、軌跡資料及證據之保存
d. Act行動:
提出修正方案縮減成果與目標的差異,使下次計畫更加完善資通安全維護之整體持續矯正及改善
(2) 資訊安全具體管理方案:
a. 符合法令遵循,建立符合規範機制,完備集團資通安全內規修訂相關作業規範以符合資通標準。並強化集團基礎通訊,網路韌性及安全。
b. 建立集團資通治理模式,定期依評估集團資通現況、相關法令、技術及業務、稽核等最新現況,定期檢視及予以適當調整修訂。
c. 強化集團關鍵基礎建設及防護,並建立跨域資通聯防機制。本公司員工、委外廠商暨其協力廠商視業務需求,簽定保密協議書,確保使用本公司資訊以提供資通服務或執行相關資通業務者,有責任及義務保護其所取得或使用本公司之資通資產,以防止遭未經授權存取、擅改、破壞或不當揭露。
d. 識別集團核心業務及系統,並編列清冊建立訂定期盤點資訊資產清單,依資通風險評鑑進行風險管理,落實各項管控措施。
e. 精進駭客攻擊防範機制,定期執行系統備援與備份作業,並定期修訂及稽核。
f. 確保重要關鍵業務(系統)流程不受重大故障與災難影響,制定應變計劃,建置適當之備援或監控機制,並定期演練確保在要求時間內恢復營運流程,維持其可用性。
g. 本公司電腦安裝防毒軟體,並禁止使用未經授權軟體。同仁帳號、密碼與權限應善盡保管與使用責任並定期換置。
h. 制定資通安全事件的回應及通報標準程序,以適當對資通安全事件做即時處理,避免傷害擴大。
i. 全體人員應遵守法律規範與資通安全政策要求,主管人員應督導資通遵行制度落實情況,強化同仁資安認知及法令觀念。
j. 鏈結產學研發能量及外部廠商發展新興技術,定期教育訓練及不定期機會宣導,提升員工資安意識,強化資安能量。
(3) 資訊安全通報程序
(4) 資訊安全風險評估
a. 集團依據風險等級,分配有限之資源加以控管。透過控制措施,降低集團資通風險到達可接受程度。系統化管理集團資通風險,有效保障集團資通管理投資。
b. 本集團資通安全權責單位為資訊處,該部設置資通安全主管,與專業資通安全工程師,負責規劃暨執行資通安全防護與資通政策推動與落實,定期向董事會匯報公司資通治理概況,並定期公佈公司資通治理概況,以利企業永續經營。
c. 集團透過資通安全管理委員會建立資通稽核小組,負責督導稽核集團內部資通安全執行狀況,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資通安全風險。
d. 持續稽核與改善,透過循環式管理,確保集團可靠度目標之達成且持續改善。
2022年辦理資訊安全宣導執行情形
本年度教育訓練辦理兩梯次資訊安全教育訓練,3 小時「網路社交工模擬訓練」,經理人及員工共計200 人次參與。
2022年度資訊安全執行情形
a. 資通安全事故
本公司檢討各單位資安政策之執行情形,於2023年3月份發生外部釣魚攻擊事件,依照緊急應變措施及資通安全作業辦法進行應變處置並記錄,第一時間有效封阻防範,無發生重大事故。另強化SPAM系統的安全防護,防止釣魚郵件入侵。郵件系統病毒防護機制設定。希冀藉由多面向模式提供企業級之深度防護機制,以避免因惡意釣魚郵件及勒索軟體造成的機敏資料遺失及營業損失,有效保護郵件系統免於威脅,防範外部的資安攻擊。
b. 資通事故及備援演練
本年度辦理1 次異地備援演練、4次社交工程演練、5件緊急應變演練、每季1件資安宣導作業、每月經營檢討會進行資通安全月報,加強長官及同仁對於資訊安全風險之應變與警覺性。
c. 本年度進行1次弱點掃描及1次資安曝險,事前防範提早修補系統風險漏洞,加強系統服務防禦能力,降低風險。