資通安全風險管理架構
- 1.企業資通安全治理組織
- 佳必琪資通安全權責單位為資訊管理部,負責統籌資通安全及保護相關政策規劃,並執行資通安全作業與資安訊息之推動,提昇員工資安意識,定期監控網路流量、了解及掌握最新資安情報及資安攻擊情勢,且即時通報應變聯防,將損害控制降至最低。本公司稽核室為資通安全監理之督導單位,負責督導內部資安執行狀況,若有查核發現缺失,立即要求受查單位提出相關改善計畫與具體作為,提出稽核報告並落實改善。
- 2.公司企業資通安全組織架構
本公司資通安全管理機制,包含以下三個面向:
(一)制度規範:訂定公司資通安全管理制度,規範人員作業行為。
(二)科技運用:建置資通安全管理設備,落實資安管理措施。
(三)人員訓練:進行資通安全教育訓練,提昇全體同仁資安意識。
網路通訊管理另一個主要課題是資通安全管理。由於現代社會網路技術的進步及網路應用的日趨普及,幾乎所有的電腦主機都需要連上網路提供服務或取得服務,而企業與交易夥伴 (Business Partner: 客戶、供應商) 連絡或業務來往均需透過Internet,造成電腦系統經常處於可能遭受入侵的威脅。資訊管理部同仁亦必須隨時注意資通安全的發展,透過資通安全的風險評估、網路架構的安全分析與調整、電腦系統的安全強化、資安設備的部署,將駭客入侵的途徑有效的減到最低,並將資安水準提昇至一定的程度。
佳必琪為了加強資通安全的技術應用與經驗交流於今年加入臺灣資安主管聯盟(簡稱:臺灣CISO聯盟),聯盟主要願景及推動目標如下:
佳必琪在資通安全管理機制策略上採取“集中控管、分散監測偵控方式”,由總公司資訊管理部中央統一規劃,各廠分別建置管理,並且功能上在臺北建置中央伺服主機與資料庫系統,並於其他廠建置受管理機制,即時監控各廠區之單位PC上網安全保護之狀態,經由網路連線至中央伺服主機統一整合控管。資通安全管理有下列幾種主要功能: 系統及防毒定時更新機制 建設時機:新廠區正式啟用與其他廠區資訊服務連線時,應提前設置一臺防毒伺服器主機自動與微軟WSUS即時更新,以及包含其他例如:Linux、IOS等系統即時更新設定。 升級檢討時機:現有的系統過於老舊、沒有正常更新、無法修補最新漏洞或現有之防毒機制已經無法適用於集團內部時,需要盡快更換更好的機制及設備,讓內部所有系統自動下載並安裝更新軟體,避免資安漏洞造成內部受到攻擊。
Firewall監控分析,分析網路安全下可有效的控管網路攻擊和安全漏洞的詳細資訊,並有效性對其進行微調使達到企業內部資通安全控管。
採用Wi-Fi設備為包含WPA3 Personal認證安全加密技術WPA3用戶則能夠利用更高級的安全協定,保護敏感性資料安全,除了加密傳輸外,另外也建置了AD整合身分驗證功能員工使用之Wi-Fi與客戶使用之Wi-Fi統一管理,客戶使用之Wi-Fi無法存取公司內部資源,才能保有區域網路之安全,也達到集中式管理功能,包含使用者裝置頻寬流量、應用程式、異常流量等都可統一管理。
(一)資訊技術安全之風險及管理措施
本公司目前無重大資安事件導致營業損害之情事。