本公司於2022/11/09通過董事會設置有資安長、資訊安全處及資訊中心,負責本公司資訊安全管理。為有效管理及妥善維護電腦資訊環境,確保資訊使用及作業的機密性、完整性與可用性,並使相關人員執行作業有所依循,以降低任何資訊安全事件所可能帶來之衝擊,資訊中心訂有資訊安全政策等取得ISO27001_資訊安全系統認證 (認證期效:2022/09/10~2025/09/09)之相關作業規範。其中即包含如:資訊授權、資料備份、系統開發、委外廠商管理、智慧財產權等具體管理方案。
本公司為確保公司持續成長的優勢,對產業上、中、下游各製程技術的創新與卓越的領先,並對股東、客戶及合作夥伴的承諾,對資通安全領域的管理標準制度明訂相關管理政策,從人員、營運、技術、法規等面向設立各項資通管理機制與規範,持續進行管理制度與技術的強化,以執行全方位的風險管控,同時投入適當資源,並持續評估各類資安保險,以能夠有效保護企業的資通資源安全,保護數位化進程健康、有序、可持續發展,以達到遠東新資通安全管理的目標。
在內部控制及資安作業方面:2014年導入「ISO 27001 資訊安全管理系統」,依據風險影響的大小、機率,以及改善風險所需成本以設定優先序,採用規劃、執行、查核與行動的方法,並建立資訊安全關鍵績效指標,落實 PDCA(Plan-Do-Check-Act)目標式管理循環推動資訊安全管理制度,並於2016年起持續取得外部驗證機構認證。並隨時因應需求調整資源配置,以確保資訊安全、製程資訊安全、客戶資訊保護、營運持續及其它安全相關領域管理推行與落實。
包含安全政策與組織;人力與資訊資產;資訊存取與密碼控制及系統獲取、開發及維護、通訊網路安全;實體環境安全;製程資訊安全;營運作業安全;供應鏈關係管理;安全事故管理;營運持續管理;遵循性管理及業務流程與資訊系統管理。
本公司已加入台灣CERT/CSIRT聯盟,並於公司內部已建置資安事件處理標準程序,明訂相關流程與措施,包含通報程序及負責人職責。事故管理單位確認事故狀況,初步判定是否屬重大事故,啟動通報程序,負責處理及追蹤,並更新處理進度至事故結案。事故處理單位負責對發生事故進行改善,並回覆處理結果及提出矯正預防計畫。截至年報刊印日止ISO27001的驗證範圍於近一年無重大資安事故,也無資安事件造成的財務損失。
本公司人力發展中心辦理資安教育訓練,宣導資訊安全認知,強化資訊安全意識。鼓勵員工參加資訊安全課程教育訓練並取得證照,並要求系統開發者及管理者遵循系統建置及安全管理之規範,藉以增加系統穩定性、安全性與運作效率,並有效降低對系統非授權存取之風險管控。
除在工廠端佈建數資訊人員負責營運技術資訊外,部分資通技術安全及相關業務委由第三方鼎鼎企管(股)公司辦理,設置人數共37人。本公司亦於2022年11月設置資安長及專責人員,設置人數共7人,負責建立企業資通安全管理架構,為董事會層級之功能性組織,定期向董事會報告,並於每月風險管理會議中報告資訊相關風險議題及因應與強化對策、相關法規檢視等。
確保企業安全政策落實,與資訊技術安全、製程資訊安全、營運持續及其它安全相關領域之管理與推行。執行事項含括如下:
1. 安全營運:即時分析威脅。
2. 網路情報:幫助董事會了解潛在的安全問題。
3. 保護數據資料:確保內部員工不會濫用或竊取數據資料。
4. 安全架構:確保IT和網路基礎設施的設計達到安全防護。
5. 供應鏈資訊安全:符合客戶資安要求及傳達供應商最新資安規定及注意事項。
第 1-2 筆 l 總共 2 筆
