具体管理方案与投入资通安全管理之资源
本公司对于信息安全控管相当重视,在信息安全保护所实行之具体作法主要以五个方面进行资通安全管理:
01
员工管理
公司于员工任用时,与受雇员工签订「聘雇合约书」,于合约中约定,受雇员工在受雇期间之所有的创作及发明,其知识产权应归属于公司。同时,亦与受雇员工签订详尽的「保密合约」,不論聘雇合约期间或终止后,受雇员工对任职期间所接触到之所有商业信息、技术、制程、程序、流程、设计或其他任何可用于设计、销售或经营之公司机密信息,皆应尽保密之责,如有违反契约之行为,公司得依照工作规则给予惩处,并视情节重大情形,追诉其民刑事责任。公司利用各样会议不定期对员工进行倡导,包含营业机密保护、门禁管制规则、对外信息揭露原则等等,务使员工建立正确的观念并且养成好的工作习惯。
02
装置控管
公司计算机设备皆需安装防病毒软件并由系统判定符合规范之计算机才给与网络连接权限。非经公司许可之计算机设备严禁接入公司网络,如有未经许可之设备接入系统将自动进行网络封锁,以避免不符规范之计算机装置影响公司内部网络与设备。
03
权限管理
公司同仁登入个人计算机需通过双因素身分验证(系统账号密码 + OTP一次性密码),以避免账号被窃取冒用的情况发生。各研发项目皆有严格权限控管,项目成员需提出窗体申请,经主管同意后由信息管理人员设定访问权限,并且每半年进行一次访问权限复核,以确保权限管理之正确性。
04
资料管理
公司研发相关数据皆存放于专业型储存设备中,具有高可用性的备援能力,项目研发数据皆有权限控管,仅允许授权成员进行存取。公司研发数据有完整的定期备份机制,并采取异地存放,以确保灾难发生时的复原(Disaster Recovery)能力。
05
输出管理
产品交货给客户时需完成申请作业,经相关主管、业务承办人员同意后,由系统将数据加密后直接上传到公司提供予客户下载之专属空间,不经任何人工操作的介入,且此专属空间仅允许客户提供之特定IP设备联机,联机开放时间以一个月为限。
| 类型 | 项目 | 防范目的 | 投入资通安全管理资源说明 |
| 员工管理 | 信息安全倡导 | 预防降低中毒机率 | 新进人员资安倡导 定期对员工进行国内外重大资安异常事件案例分享。 |
| 装置控制 | 防病毒软件 非信任装置阻挡 |
预防中毒 | 资安系统采购与建置 系统判定符合规范之计算机才给与网络连接权限。如有未经许可之设备接入系统将进行网络封锁。 |
| 权限管理 | 双因素身分验证 专案权限控管 |
避免账号冒用 |
双因子认证系统建置 内部研发管理系统开发 |
| 资料管理 | 专业型储存设备 本地备援架构 异地数据备份 |
避免数据丢失 |
专业型储存设备采购 专业型被软软件采购 |
| 输出管理 | 系统自动化抛转 专属加密空间 |
避免数据外泄 | 内部出货管理系统开发 产品交货给客户时,需申请表单,经相关主管、业务承办人员同意后,由系统将数据加密后直接上传到公司提供予客户下载之专属空间,不经任何人工操作的介入。 专属空间仅允许客户提供之特定IP设备联机,联机开放时间以一个月为限。 |
资通安全管理执行概况
于2024年8月6日报告董事会本年度之执行重点如下:
| 项目 | 执行细节 | 执行成效 |
| Internet 防火墙更新 | 原先旧的Internet防火墙稳定性不佳,已影响包含邮件收发与客户数据传输交换,且资安防护功能较为基础,考虑营运稳定性以及日益严峻的资安环境,计划进行汰换升级。新防火墙提供较细腻的应用程序分类与管控,并有着较强大的硬件规格可提升整体网络处理流量的效能。 | 提升整体营运环境稳定度,并提供更强大的网络流量处理效能与更严谨的网络应用程序分类与管控,目前无重大资安事件。 |
| 端点资安管控软件导入 | 为加强对于笔记本电脑的管控,经测试后导入端点防护软件,区分用户部门设定不同的信息安全原则,在信息设备离开公司网络后仍可确保,装置有一定的信息安全防护能力,并降低数据外泄之风险。 | 提升笔记本电脑的信息安全防护能力,软件布署率100%。 |
| 电子邮件系统防御能力提升 | 在原本的邮件防护系统上加购 ADM进阶防御模块,运用云端沙盒技术,仿真产出静态特征,拦截附件及档案夹带零时差(Zero-day)恶意软件、APT攻击工具,提升整体邮件的防护能力。 | 提升钓鱼邮件的拦阻能力,目前无重大资安事件。 |
| 社交工程演练 | 于2023 Q4执行社交功能演练,共发送邮件290封,全体员工通过率为91%,于演练过后寄送社交工程邮件应对说明公告,并于公司内部网站首页倡导信息安全政策,以提升全体同仁的资安意识。 | 提升同仁对于钓鱼邮件的应对能力,目前无重大资安事件。 |