具體管理方案與投入資通安全管理之資源
本公司對於資訊安全控管相當重視,在資訊安全保護所採行之具體作法主要以五個方面進行資通安全管理
01
員工管理
公司於員工任用時,與受雇員工簽訂「聘僱合約書」,於合約中約定,受雇員工在受雇期間之所有的創作及發明,其智慧財產權應歸屬於公司。同時,亦與受雇員工簽訂詳盡的「保密合約」,不論聘僱合約期間或終止後,受雇員工對任職期間所接觸到之所有商業資訊、技術、製程、程式、流程、設計或其他任何可用於設計、銷售或經營之公司機密資訊,皆應盡保密之責,如有違反契約之行為,公司得依照工作規則給予懲處,並視情節重大情形,追訴其民刑事責任。公司利用各樣會議不定期對員工進行宣導,包含營業機密保護、門禁管制規則、對外資訊揭露原則等等,務使員工建立正確的觀念並且養成好的工作習慣。
02
裝置控管
公司電腦設備皆需安裝防毒軟體並由系統判定符合規範之電腦才給與網路連接權限。非經公司許可之電腦設備嚴禁接入公司網路,如有未經許可之設備接入系統將自動進行網路封鎖,以避免不符規範之電腦裝置影響公司內部網路與設備。
03
權限管理
公司同仁登入個人電腦需通過雙因素身分驗證(系統帳號密碼 + OTP一次性密碼),以避免帳號被竊取冒用的情況發生。各研發專案皆有嚴格權限控管,專案成員需提出表單申請,經主管同意後由資訊管理人員設定存取權限,並且每半年進行一次存取權限覆核,以確保權限管理之正確性。
04
資料管理
公司研發相關資料皆存放於專業型儲存設備中,具有高可用性的備援能力,專案研發資料皆有權限控管,僅允許授權成員進行存取。公司研發資料有完整的定期備份機制,並採取異地存放,以確保災難發生時的復原(Disaster Recovery)能力。
05
輸出管理
產品交貨給客戶時需完成申請作業,經相關主管、業務承辦人員同意後,由系統將資料加密後直接上傳到公司提供予客戶下載之專屬空間,不經任何人工作業的介入,且此專屬空間僅允許客戶提供之特定IP設備連線,連線開放時間以一個月為限。
| 類型 | 項目 | 防範目的 | 投入資通安全管理資源說明 |
| 員工管理 | 資訊安全宣導 | 預防降低中毒機率 | 新進人員資安宣導 定期對員工進行國內外重大資安異常事件案例分享。 |
| 裝置控管 | 防毒軟體 非信任裝置阻擋 |
預防中毒 | 資安系統採購與建置 系統判定符合規範之電腦才給與網路連接權限。如有未經許可之設備接入系統將進行網路封鎖。 |
| 權限管理 | 雙因素身分驗證 專案權限控管 |
避免帳號冒用 |
雙因子認證系統建置 內部研發管理系統開發 |
| 資料管理 | 專業型儲存設備 本地備援架構 異地資料備份 |
避免資料遺失 |
專業型儲存設備採購 專業型被軟軟體採購 |
| 輸出管理 | 系統自動化拋轉 專屬加密空間 |
避免資料外洩 | 內部出貨管理系統開發 產品交貨給客戶時,需申請表單,經相關主管、業務承辦人員同意後,由系統將資料加密後直接上傳到公司提供予客戶下載之專屬空間,不經任何人工作業的介入。 專屬空間僅允許客戶提供之特定IP設備連線,連線開放時間以一個月為限。 |
資通安全管理執行概況
於2024年8月6日報告董事會本年度之執行重點如下:
| 項目 | 執行細節 | 執行成效 |
| Internet 防火牆更新 | 原先舊的Internet防火牆穩定性不佳,已影響包含郵件收發與客戶資料傳輸交換,且資安防護功能較為基礎,考量營運穩定性以及日益嚴峻的資安環境,計畫進行汰換升級。新防火牆提供較細膩的應用程式分類與管控,並有著較強大的硬體規格可提升整體網路處理流量的效能。 | 提升整體營運環境穩定度,並提供更強大的網路流量處理效能與更嚴謹的網路應用程式分類與管控,目前無重大資安事件。 |
| 端點資安管控軟體導入 | 為加強對於筆記型電腦的管控,經測試後導入端點防護軟體,區分使用者部門設定不同的資訊安全原則,在資訊設備離開公司網路後仍可確保,裝置有一定的資訊安全防護能力,並降低資料外洩之風險。 | 提升筆記型電腦的資訊安全防護能力,軟體佈署率100%。 |
| 電子郵件系統防禦能力提升 | 在原本的郵件防護系統上加購 ADM進階防禦模組,運用雲端沙盒技術,模擬產出靜態特徵,攔截附件及檔案夾帶零時差(Zero-day)惡意程式、APT攻擊工具,提昇整體郵件的防護能力。 | 提升釣魚郵件的攔阻能力,目前無重大資安事件。 |
| 社交工程演練 | 於2023 Q4執行社交功能演練,共發送郵件290封,全體員工通過率為91%,於演練過後寄送社交工程郵件應對說明公告,並於公司內部網站首頁宣導資訊安全政策,以提升全體同仁的資安意識。 | 提升同仁對於釣魚郵件的應對能力,目前無重大資安事件。 |