- 投資人關係
- 公司治理
- 資訊安全政策
資訊安全政策
資訊安全政策
明安國際(以下簡稱本公司)為強化資訊安全管理,確保作業流程相關資訊的機密性、完整性及可用性,以提供本公司能持續運作之資訊環境,並符合相關法規和契約義務,以及關注方(如客戶或股東)之要求,使其免於遭受內、外部的蓄意或意外之威脅,特定此政策規範。
政策願景與目標
願景一:確保資訊系統持續運作,目標如下:
各廠資訊機房應建立可持續維運之實體環境,以維護資訊機房之正常運作。
願景二:防護實體與網路環境安全,目標如下:
- 各廠資訊機房、伺服器及網路設備,應建立安全防護機制。
- 公司配發之個人資訊設備,應建立資訊安全防護機制。
- 所有連接網路之機台設備,應建置資訊安全防護機制。
願景三:規範人員安全操作公司資訊環境,目標如下:
- 所有使用資訊系統及網路的人員,應遵守相關資訊安全及網路安全規範,以維護本公司資訊安全。
- 適時發佈資訊安全訊息,提供人員了解資訊安全之重要性及風險,提高其資訊安全意識。
- 各資訊系統應訂定適當之權限管制,防止未經授權的不當存取或變更。
資訊安全治理架構
為提升資訊安全管理,資訊部負責訂定集團(含子公司)資訊安全政策、規劃、執行、推動與落實,以降低資安風險及提升同仁良好的資訊安全意識,定期檢討及向董事會報告資安政策,定期向董事會報告資安治理概況。
資訊安全管理機制
資安策略主軸聚焦資安治理、法令遵循及科技運用三個面向,從制度到科技,從人員到組織,全面性提升資安防護能力。
有鑑於目前資安新興趨勢,如DDoS攻擊、勒索軟體、社交工程攻擊、釣魚網站等,每年與國際資安廠商交流,透過專案合作的方式,定期關注資安議題並規劃因應措施,進行資訊系統的還原及防護演練,強化處理人員的應變能力,以期在第一時間即偵測到並完成處置。
為強化資訊安全管理,內部落實政策執行、嚴密網路控管機制及建立各類型的檢測系統,提早發現問題並進行修補程序。另不定期委由認證資安廠商進行測試。
資訊安全組織運作模式
資訊服務流程管理
發展良好的資訊服務流程管理,從需求管理、事件管理及問題管理各方面,輔以安全管理機制,持續控管風險。透過定義公司資訊服務的目錄及對應的處理程序,將營運所面臨的事件及問題加以標準化管理,且因應需求申請與變更,建立持續降低風險之循環,並累積知識文件,提升處理的時效與正確性。
資安具體管理方案
具體管理方案由風險預防、防護設施、緊急應變等三個構面,運用相關智慧科技來管控集團的資安防護能力。
風險預防
1每年定期對集團人員宣導資安政策。
2遇全球重大資安事件時,立即以郵件公告集團人員。
3每月資訊部對資訊安全進行集團整體檢視。
4對外網路與電信業者長期配合對電路進行弱點監控,並適時修補漏洞。
5每季進行全面防毒軟體健檢,並適時進行策略修正。
防護設施
1資訊機房獨立空調系統、電力系統獨立備援。
2總部蒐集各廠防火牆數據,分析並制定合宜之防禦政策,以確保各廠不受外部攻擊。
3總部集中規範各廠所有端點的使用權限(例如USB管控、雲端硬碟、藍芽、外部郵件)。
4總部及所有廠區全面控管外來設備(例如員工個人的NB、手機、平板及來訪人員之所有設備等),禁止未經許可的所有外來設備連接公司綱路。
緊急應變
1重要主機災難還原機制,每年執行還原驗證,確保重要系統可還原性。
2集團各廠VPN電路備援機制,確保不會因電路異常而影響公司營運。
3每日重要系統、資料庫及檔案備份,供緊急情況資料還原。>
資訊安全事件通報機制
投入資通安全管理之資源
1.資通安全管理相關認證及軟體如下:
| 名稱 |
金額 |
(1)NAC網路存取管理系統續約
(2)資安安全認證ISO27001
(3)防毒軟體續約
(4)SMART IT資安管理系統續約
(5)防火牆維護合約
(6)網路核心交換器續約
(7)機房消防維護合約
(8)機房不斷電系統維護合約 |
252.16萬 |
2.本公司設置4位資通安全人員。
3.定期召開資安會議,於113年度共計召開6次資安會議。
4.不定期於公司內網宣導資通安全資訊,於113年度共計4次資通安全宣導。
5.於114年01月16日至董事會報告113年度資安管理運作情形報告。