更新日期:2022年07月06日
 

为落实永续发展,保障公司机密资料及顾客隐私,本公司于2012年建立「资讯安全管理委员会」,执行资安政策佈达与建立沟通机制,有效防止资讯遭窃取、窜改、灭失或遗漏,除了保障资讯的机密性(Confidentiality)、完整性(Integrity)及可用性(Availability)之外,更要求能符合相关资讯安全标准或法规。
 

资讯安全管理委员会

  • 于2012年12月成立「资讯安全管理委员会」,由资讯长担任主席,全集团资讯专家担任委员会成员,负责审视资讯安全治理政策、监督资安管理运作情形、建构全方位资安防护机制、提升同仁资安意识、定期评估资讯安全风险。
  • 自2020年起,每年向董事会报告执行状况。最近一次向董事会报告日期为2022年07月25日。

资讯安全管理委员会组织图

 

资讯安全政策

本公司参考ISO 27001与NIST规范,并依据内部实际管理需求制定以下资讯安全政策:
 

  • 资讯管理中心各单位均建立相关资讯资产清单,并明定拥有者,依资讯资产等级差异,执行风险评鑑作业,针对高于可接受水准之风险应进行风险管理,以有效降低风险,并持续落实各项管控措施。
  • 相关人员录用应进行必要之考核并签署相关作业规定文件,异动或离职时应归还其资讯资产、新进与现任同仁均须参与资讯安全教育训练并以提昇资讯安全防护之认知观念。
  • 进出中光电大楼及资讯安全管制区域应落实相关门禁管控及物品携出入规定。
  • 严禁同仁私自架设网路设备串接外部网路与公司内部网路,内外部网路均设置防火牆、非武装区(DMZ)、及必要之安全设施保护之,重要设备应建置适当之备援或监控机制,维持其可用性。同仁之个人电脑应安装防毒软体且定期确认病毒码之更新,并禁止使用未经授权软体。
  • 同仁个人持有之帐号、密码与权限应善尽保管与使用责任、管理人员应定期清查复核,重要系统运作资料应定期备份并执行回復测试。
  • 系统开发应于初始阶段考量安控机制之建置、委外开发部分应强化控管及契约资讯安全之要求,评估系统的控管要求可採取必要之控管。
  • 同仁遇有资讯安全事件,应立即通报,并依照资讯安全事件处理说明书(C12-3021)程序处理,避免事件扩大,并配合权责部门共同解决。
  • 同仁日常作业应落实确认复核机制,维持资料准确性,主管人员应督导资讯安全遵行制度落实情况,强化同仁资讯安全认知及法令观念。
  • 本公司定期检视资讯安全政策,以反映政府法令、技术及业务等最新发展现况,确保资讯安全实务作业之有效性。中光电资讯安全目标,由资讯安全委员会依据资讯安全政策,视需要调整。

资讯安全作业流程



 

资讯安全风险鑑别

  • 641资安政策:以ISO 27001标准建立内部资安管理SOP并採用641资安政策,以6个防御和4个检核作为依据,最后由1个行动战情监控中心作为统一因应的控制中枢,再结合外部风险评分卡系统,让资安风险数据化,风险改善流程化,提升资安强化的效率与强度。
  • 风险鑑别评分卡系统:将全公司资讯系统、架构、服务分为十个领域,每个领域依照属性结合国际法规与资安风险标准规范进行查核并给予分数,综合十个领域之分数给予风险等级评量,同时针对不合规或明确风险自动提出改善建议并列入追踪。
  • 弱点扫描:为因应日新月异的骇客入侵手法,我们定期针对提供服务之相关系统进行弱点扫描,2021年共发现33个系统漏洞,并于三个月内全数修復完毕。

资讯安全教育训练

  • 资安训练:为建立及提升员工资安意识,为新进员工安排「资讯机密安全与电脑网路使用规范」课程,共234人次修课;吴江厂也开办「安保政策与信息资讯安全」课程向员工说明资讯保护及网路安全之重要性,共183人次参与。
  • 资安公告:于友厂重大资安事件发生时进行资安宣导公告,以提醒员工注意相关风险,避免重蹈复辙,造成公司营运损失。2021年共进行4次资安公告。
  • 社交工程演练:对全集团同仁进行1次电子邮件社交工程演练,并针对经由演练而筛选出的高风险员工进行2次资安教育训练,共43名员工参加。

资讯安全措施

  • 开发防止散播与特权帐号的监控系统、感染时立即关机以减少损失的程式,并提供厂区备份空间。
  • 建立AI驱动的资安防护架构,透过MDR威胁监控系统,使公司内部展开多面向防御,并搭配远端紧急应变措施,能于第一时间清除恶意程式并隔离有害端点网路,再配合远端鑑识分析平台,让资安防护无漏洞。
  • 建置主动式防御威胁情报系统,与国际威胁情资中心同步,即时更新威胁情资,并透过主动式预警分析引擎来有效阻挡恶意连线及主动猎捕可疑行为,再搭配专业资安专家进行鑑识调查,强化骇客防御系统。
  • 因应COVID-19,建立高安全性系统并搭配认证机制,强化员工远距在家办公的资讯系统服务与网路安全连线安全性。
  • 因应对外提供服务系统的更新,自2020年起,每年执行2次平台弱点扫描。