資訊安全
【資訊安全治理制度、目標與策略】 |
偉詮電子為強化本公司之資訊安全管理,有效的資安防禦網為資訊安全願景,以資安治理一致性為基礎,逐步提升全方位防護能力。資訊安全部統籌資訊安全制度及合規遵循,並推動相關作業的落實,持續提升資安意識與專業能力。透過技術的運用,識別資安風險與弱點,並進行有效的強化,建構完善的治理制度與全方位的資安防護能力,同時培養同仁良好的資訊安全意識。 |
【資訊安全政策落實】 |
1.建立符合法規與客戶需求之資訊安全管理規範。 |
2.透過全員認知,達成資安防護,全面落實的共識。 |
3.保護公司與客戶資訊的機密性、完整性、可用性,以提供本公司之業務持續運作環境。 |
【資訊安全架構】 |
1.資安管理委員會:由公司總經理擔任召集人,各單位主(副)管為委員會委員,負責資訊安全管理制度相關事項之決議,審查資安管理政策、擬訂資安管理架構及組織功能,檢視與審查公司整體資安管理機 制之發展、建置及執行結果,定期向董事長、董事會報告公司資安治理概況。 |
2.資安風險管理之權責單位為資訊部,推動執行資安政策與人員教育訓練,資安措施導入與實行接受稽核並依據稽核結果並進行改善內部作業程序。 |
3.稽核室為資訊安全監理之督導單位,負責督導內部資安執行狀況,若有查核發現缺失,並要求受查單位提出相關改善計畫與具體作為,做追蹤改善成效,以降低內部資安風險。 |
【資通安全管理方案】 |
本公司訂定資訊安全管理辦法,以茲全體員工遵循, |
1.建立資訊安全管理方案,包含電子郵件管理控制、網路防火牆設置、防毒軟體設置、系統程式資料存取控制及網際網路入侵防護等,且定期覆核各項網路服務、資訊系統之System Log,追蹤異常之資料存取。 |
2.依據員工職能分別賦予不同存取權限,隨時宣導資訊安全資訊,提升員工資安意識。 |
3.每年定期演練系統復原並檢視緊急應變計劃。 |
4.每年定期執行內部稽核、會計師資訊查核、ISO稽核,強化資通安全之管理。 |
5.加入TWISAC/SPISAC/TWCERT,接收重大情資分享以了解目前最新趨勢。 |
【資訊安全事件】 |
對資訊安全事件的通報與處理,明確訂立資安通報及處理流程,資安事件由資訊單位接獲或發現資安事件,進行收錄並訂定事件等級,資訊單位需於目標處理時間內排除及解決資訊安全事件,並在事件處理完畢後進行根因分析與採取矯正措施,以預防事件重複發生。 |
【投入資通安全管理之資源 】 |
2023年度執行情形 |
1.持續投入資源於資訊安全相關領域,資源投入事項包含完善治理面及技術面之基礎架構、強化資安防禦設備、端點監控威脅系統、情資監控分析、資安事件應變演練與教育訓練等,全面提升資訊安全能力及保護公司重要資訊資產。 |
2.為深化資訊安全與機密資訊保護,持續進行管理制度與技術的強化,本公司設置資安管理委員會與資安專責人員,委員會成員有10人,在資安專責人員,設置1個資安官,2位資安人員。 |
3.資安風險管理方面,進行年度盤點資安資產 1 次,依據風險影響的大小及改善成本以設定優先執行次序。 |
4.本年度接受外部風險管理機構年度稽核 2 次。 |
5.資安宣導方面,於每季定期向同仁進行資安宣導與寄送相關宣導共計 4 次,不定期因應情資,寄發18次郵件宣導,內容包含軟體漏洞更新與操作的注意事項、各式釣魚信件鑑識教學、網路釣魚防詐資安宣導影片與防護提醒、郵件軟體備份教學等相關議題。 |
6.資訊部定期彙整資安事件應對處理紀錄,本年度召開 1 次資安管理委員會會議,並在會議進行資安治理執行報告,相關資訊也提交董事會,進行報告。 |
7.2023年度並無發生危害本公司資訊安全之事件。 |