2023 ESG Report
永 | 續 | 報 | 告 | 書

8.6 資訊安全管理

采鈺公司基於 ISO 27001 標準建置資安管理相關規範,致力推展資訊安全,保障並維護客戶的設計和相
關資訊,持續改善以符合下列資訊安全政策要求的目標:

8.6.1 資訊安全管理架構

為維持本公司競爭力並降低營運中斷風險,確保資訊系統符合機密性、完整性及可用性要求,強化員工資訊安全意識,成立「資訊安全管理委員會」落實推動資訊安全管理作業,指派資安專責主管與資安專責人員,負責推動、協調、監督及審查資通安全管理事項,建立資安事件通報與應變組織,鑑別資安風險並施行資安風險改善措施。資安部門固定於每日晨會,向資訊處最高主管更新資安相關活動與事件紀錄。資訊處最高主管每月向總經理匯報資安治理成果。資訊處於每月專案月會,分別向 Fab 廠區與 Supporting 單位,宣導資安管控重點項目。每月於公司內網公告資安事件案例宣導,提升同仁資安意識。

8.6.2 資訊安全防護措施

為全面強化資訊安全,采鈺公司透過雲端安全、對外網路 (Demilitarized Zone,簡稱 DMZ) 安全、資安治理、辦公區安全、資料中心安全、生產線與供應商安全等六大構面落實資訊安全防護。

註:資訊安全防護措施具體內容,請參閱采鈺公司官網 / ESG 專區 / 營運與治理 / 資訊安全管理

 

為了有效掌握資安情資,由采鈺公司資訊處資訊安全維運部門搭配 Fortinet、TrendMicro、Crowd Strike、Palo Alto Networks、Proofpoint 等國內外知名廠商之資訊安全產品與情資,於 2020 年成立資訊安全監控中心 (Security Operation Center,簡稱 SOC),針對資料中心、病毒防護、網際網路、作業系統、應用程式、生產線機台防護等領域即時監控內部資安環境變化、主動發現資安問題並採取因應措施。同時參與科學園區資訊安全分享與分析中心,對於關鍵基礎設施之資安風險進行情資蒐集、交換以及分析,掌握可能的資安威脅與弱點資訊,依據所獲得的資安情資修補漏洞防範可能的威脅,降低重大資安事件發生的風險。資訊安全監控中心成立後,每日監控網際網路、閘道端、伺服器與端點使用情形,遇有疑似攻擊行為的外部 IP 來源即予以封鎖。2023 年持續使用 Crowd Strike 託管式威脅偵測與應變服務 (MDR,Managed Detection and Response),協助監測辦公區電腦與 IT 機房伺服器是否遭到植入惡意軟體,透過雲端機器學習 (Cloud Machine Learning) 協助偵測與防範惡意程式的執行,系統上線至今阻擋了中高風險以上惡意程式,2023 年資安事件次數為 0。

搭配本公司機密資訊保護政策,每年由機密資訊保護委員會之委員 (PIP Officer),將公司內機密資訊、個人資料等敏感資訊,進行盤點與資料分級,各單位公用資料內建立個資保護專用資料夾,縮限資料讀取權限並加密,每季由 PIP Officer 執行 Self Audit,落實機密資訊和個人資料保護。

此外,為確保組織在遭逢天災、人禍、病毒攻擊等事件發生時,重要營運過程不受重大資訊系統失效,本公司依據地震、火災、缺電、資訊系統事故、環安衛事件,及影響公司聲譽等相關事件,制定內部通報流程,當危機事件發生時,同仁隨即依據不同危機項目及事件發生對營運的影響程度,判別第一時間之通報負責人及通報層級,必要時並逐層上報至總經理,啟動緊急應變措施,以期將損失降至最低。

8.6.3 資訊安全推動成果

為維持本公司競爭力並降低營運中斷風險,確保資訊系統符合機密性、完整性及可用性要求,強化員工資訊安全意識,成立「資訊安全管理委員會」落實推動資訊安全管理作業,指派資安專責主管與資安專責人員,負責推動、協調、監督及審查資通安全管理事項,建立資安事件通報與應變組織,鑑別資安風險並施行資安風險改善措施。資安部門固定於每日晨會,向資訊處最高主管更新資安相關活動與事件紀錄。資訊處最高主管每月向總經理匯報資安治理成果。資訊處於每月專案月會,分別向 Fab 廠區與 Supporting 單位,宣導資安管控重點項目。每月於公司內網公告資安事件案例宣導,提升同仁資安意識。

焦點案例

伴隨著資訊化應用範圍的擴展,許多業務活動透過資訊系統開發,提升工作效率的同時,資訊系統因開發過程中,程式撰寫使用不當語法而造成的系統漏洞,逐漸成為駭客利用的弱點來源,駭客利用軟體漏洞進行攻擊及資料竊取的資安事件日益增多,而開發與維護人員在軟體開發生命週期時程愈來愈緊縮下,資安管理的難度也隨之增加,能夠快速、凖確地識別軟體安全風險格外重要,為此,采鈺公司導入原始碼掃描平台。

 

原始碼掃描平台能協助開發人員發現潛在的原始碼資安漏洞,透過原始碼掃描工具,列出應用程式中潛藏的安全性弱點,搭配資安顧問解析發生的原因與專業的改善建議,促使應用程式開發人員可以正確快速的修改程式安全弱點與資安漏洞,讓開發人員即時修復安全弱點,降低原始碼漏洞造成之風險,強化應用程式的防護能力。

 

透過原始碼掃描平台,從源頭去除資安弱點,使得系統開發的風險管控達到以下目標:

搜尋
Close this search box.