資訊安全管理與架構
疫情後改變了人們的生活及工作型態,不僅加速了企業數位轉型亦隨著遠距辦公的普及,全球資安事件頻傳,由於資訊安全是一個不斷發展和變化的領域,因此企業務必建立資安意識,並定期執行資安弱點掃描,有利於事件發生前率先阻擋攻擊,以損害降至最低,且為提升資安防護,本公司已加入「台灣電腦網路危機處理暨協調中心 (TWCERT/CC) 會員」。本公司於2023年12月經董事會決議設置資訊安全專責主管(資訊服務中心協理)及專責人員各1名,以強化資訊安全防護能力,並定期召開會議檢討執行情形,且每年定期向董事會報告執行情形與檢討。
一. 資訊安全組織架構
二. 資訊安全管理政策
政策:
以「數位發展,資安為本」強化本公司的資訊安全管理,建立「數位發展,資安為本」之觀念,確保客戶及同仁資料處理之機密性、完整性及可用性,務使本公司資料之處理全程均獲安全保障,提供安全穩定及高效率之資訊服務。
目的:
勁豐電子股份有限公司為強化資訊安全管理,建立安全及信賴之電子 化通訊,確保資料機密性、系統完整性及流程管理、設備及網路安全,避免因資訊安全問題造成營運上不必要的損失,確保企業持續營運的目的。請詳資訊及網路安全管理規範。
三. 資訊安全管理措施
| 類型 | 相關作業 |
|---|---|
| 權限管理 | 1.人員帳號權限管理審核 2.人員帳號定期盤點 3.加強員工資安意識及資訊安全教育訓練 |
| 系統存取控制管理 | 1.人員存取內部/ 外部系統及資料傳輸管理措施 2.以網路防火牆區隔內部/ 外部網路 3.遠端存取管理措施 |
| 外部威脅 | 1.電腦病毒防護及病毒碼定期更新程式 2.定期弱點掃描 3.資訊系統如遭病毒感染、潛在安全弱點、漏洞應有防護措施 4.E-Mail安全,Spam mail過濾機制 |
| 可用性 | 1.網路及系統使用狀態監控及通報機制 2.資訊服務中斷時之應變措施 3.確實每日執行備份/異地備援機制,並存放安全地點 4.資料外洩保護機制,確保資料機密性 5.定期災難復原演練,俾於災難發生後電腦系統與業務均能迅速回復正常運作 |
四、資訊安全宣導執行情形
本公司113年度相關之教育訓練及宣導如下:
1.外部教育訓練
日期 | 主辦單位 | 課程名稱 | 時數 | 參與人數 |
|---|---|---|---|---|
113/05/15 | Cybersec | CYBERSEC 2024 臺灣資安大會 | 6 | 2 |
113/06/06 | Computex Taipei | 台北國際電腦展2024 | 6 | 2 |
113/06/13 | BeyondTrust FairLine | 透過精細的權限控制 因應 AI 數位的變革 | 3 | 1 |
113/08/13 | Dell Technologies | Dell AI Factory | 4 | 1 |
113/09/18 | 協志科技 | 因應AI時代的到來, 企業界該如何做好準備 | 6 | 1 |
113/11/07 | Paloalto | IGNITE TAIWAN 2024 | 6 | 1 |
113/12/20 | 力麗科技 | Vectra AI Blue Team Workshop | 2 | 1 |
113/12/24 | CISO | 台灣資安主管聯盟第一屆第三次會員大會暨CISO DAY | 6 | 1 |
2.內部宣導
113年度 | 資安宣導主旨 |
|---|---|
第一季 | 避免使用免費或來路不明的Wi-Fi |
第二季 | 小心水電費詐騙簡訊 |
第三季 | 小心!Google 搜尋結果暗藏危機,點擊前請三思 |
第四季 | 正確選擇軟體,避免資安風險 |
五、重大資通安全事件
本公司聘僱安永(EY)資安健檢專案服務團隊進行年度資安健檢項目(網站滲透測試、網路活動檢視、惡意程式掃瞄、社交工程及安全設定檢視),以防堵外部資安攻擊。
截至113年12月31日止,未發生駭客病毒入侵及重大資通安全事件,亦未接獲侵犯客戶隱私或個資等相關投訴之情事。