資訊安全
資訊安全
為維護公司資訊資產之機密性、完整性與可用性,並保障客戶及個人資料隱私之安全,欣興電子制定《資訊安全政策》,期望藉由本公司全體同仁的共同努力來達成下列目標:
機密性(Confidentiality)
確保只有經授權的人才可以取得資訊,避免資訊洩漏
可用性(Availability)
確保經授權的使用者,在需要時可以取得資訊,並使用相關資產
完整性(Integrity)
確保資訊不受未經授權的竄改與資訊處理方法的正確性
資訊安全委員會
欣興電子設有「資訊安全委員會」管理台灣地區及大陸地區的資訊保護機制,致力實踐「資訊安全政策」,落實資安管理制度,並於2022年設立資安長(CISO)及資安專職單位,主導雙周資訊安全會議,透過PDCA滾動式檢視使運作更臻完善,包含內部資安宣導及演練、資產盤點與分類,及資料存取管控與資安預警等機制,定期向董事長及事業處高階主管提供資安報告,並取得國際資訊安全驗證,以降低資訊安全風險,保障客戶隱私。2023年由資安長向董事會呈報資安委員會運作,呈報內容摘要如下:
- 定義集團重點資安指標並進行水平推展
- 呈現關鍵客戶資安評鑑趨勢
- 內外部風險評估與資安專案對應
- 2023年資安委員會運作總結
- 資安人才現況與培育計畫
於強健的資安管理下,2023年成功通過客戶及第三方稽核單位的資安要求;2023年欣興電子資安相關稽核無重大缺失,亦無違反資訊安全、造成客戶資訊洩漏及罰款等重大資安事件發生。
企業資安組 | |
---|
資通訊 | - 系統及技術管制解決方案評估
- 資安系統維運與權限對應調整
|
---|
人資 | |
---|
稽核 | - 資安政策實施效果評鑑,並持續評估有效性
- 資安事件舉報與處置
|
---|
法務 | |
---|
智權 | - 營業秘密與專利資產審查與協助價值判定
- 營業秘密與專利註冊系統申請,審核與維護
|
---|
事業群 資安窗口 | - 推展資安政策至事業部,並追蹤
- 回報事業部意見,為事業部與委員會間溝通橋樑
- 反應及回報事業部資安事件
|
---|
資安具體管理方案
為保障客戶知識產權及企業機密文件,除透過完善的「資訊安全政策」及每年ISO/IEC 27001資訊安全管理系統驗證外,台灣地區及大陸地區以風險評鑑、教育訓練、系統、網路安全管理、終端電腦管理、關鍵系統異常行為偵測、資訊機房管理及防毒防駭管理等面向發展相關具體管理方案,建置資訊安全監控中心(SOC)服務,強化各資訊環節的可視性,以加速資訊安全事件反應速度,並藉由定期的審查來調整資訊安全架構,符合持續營運與監管單位之要求,妥善維護客戶資料及資訊安全。
風險評鑑
- 方法:藉由全公司雙周資安委員會會議及每年ISO 27001資訊安全管理系統運作,對現有系統或流程資安問題風險做討論及決議緩解方式或因應措施,並搭配資安雙月報呈核
- 成果:改善供應商資料交換平台安全性(FTP to SFTP)、強化 823 台高風險機台防護力、推展資訊安全監控中心(SOC)機制至子公司蘇州群策、制定門禁系統生物辨識SOP、制定雲端架構與資訊安全審查流程SOP
教育訓練
- 透過實體與數位E化課程,定期對員工進行「資訊安全」、「營業秘密保護」、「專利著作保護」3項課程教育訓練及檢定,建立員工對機敏資料的保護意識,同時每年實施營業秘密資料盤點與分級管理,保護公司及客戶資料
關鍵系統異常行為偵測
- 欣興電子針對關鍵生產廠重要主機佈署威脅偵測應變服務(MDR)337 台
終端電腦管理
- 落實權限最小化原則,回收台灣地區及大陸地區用戶端本機管理員權限
防毒防駭管理
- 建立弱點管理系統及建立弱點追蹤機制
- 網路防火牆及駭客入侵偵測防禦系統:對外部威脅進行偵測、阻斷及告警,並借助外部資安組織專業,提供資訊安全監控中心服務,24小時分析資安事件
系統、網路安全管理
- 每年定期依據「上市上櫃公司資安管控指引」及客戶要求之檢測頻率,進行12次系統弱點掃描及漏洞修補
- 依據「上市上櫃公司資通安全管控指引」建議事項,強化軟體安全檢測能力,欣興電子於2023年進行程式原始碼掃描專案,針對公司外部網站進行程式原始碼掃描,將所有高、中、低弱點風險修復(修正率100%)。第二階段將著重於內部重點開發單位,進行關鍵專案檢測,以強化軟體資訊安全,達到軟體修復成本最佳化
- 推展機台資產可視性,建置機台設備註冊系統,強化機台軟硬體配置透明度
- 因應立法院三讀通過提高個資罰鍰,進行集團人資系統加密資安防護處理
- 特定品牌工控設備、PLC弱點盤查與風險減緩
資訊機房管理
運用以下系統相互支援,建構安全的實體機房環境,保護系統及客戶資料安全:
- 門禁系統:管控機房出入口,僅讓有權限之員工通行,同時保留進出紀錄,並逐步結合人臉辨識系統
- CCTV系統:24小時全時全區域錄影監控機房,並透過感測機制,當發生有異常入侵時,可自動告警
- 環境控制系統:24小時全時監控機房環境(溫度、濕度、電力)
2023年資訊安全管理成果
廠機台風險定義與強化
將各廠生產機台依防護力與復原力,分為A、B、C、D等四個風險等級,共減緩 823 台高風險(A級)機台
供應鏈資安管理
要求 326 間關鍵供應商,設立郵件防偽冒(SPF)與郵件通訊加密(TLS),以確保資料交換無虞
資安宣導與演練
資安宣導及訓練
課程內容 | 對象 | 應訓人數 | 已訓人數 | 受訓比例(%) | 上課時數 |
---|
資訊安全宣導 | 5職等(含)以上台灣及派駐大陸地區之台籍同仁(含直接人員) | 5,074 | 5,049 | 99.51 | 3小時 |
---|
營業秘密的法律與倫理講析 |
---|
營業秘密進階課程 |
---|
智慧財產權概念 |
---|
註1:2023年度受訓期間為2023年7月1日起至2023年9月8日止,故到職滿三個月之受訓對象為2023年3月31日前到職之同仁。2023年4月1日起到職之未完成訓練之人員,將納入次一年度之應訓名單中。
註2:未訓25人中,包含受訓期間留職停薪23人、公傷假1人、長期病假1人。
2023年進行每人 3 次全公司無預警的社交攻擊演練(釣魚郵件),並搭配每年第 四 季辦理 1 次全公司E-Learning資安課程訓練,藉以加深同仁的資安意識。
資安演練
社交攻擊演練 | 受測對象 | 測試結果 | 資安意識強化措施 |
---|
首測 | 有電子郵件帳號之同仁 | 開啟惡意連結並輸入帳密:0.7%(46人) | 測試未通過之同仁已進行二次宣導,及安排測驗 |
---|
再測(第3次) | 有電子郵件帳號之同仁 | 開啟惡意連結並輸入帳密:0.08%(5人) | 由其主管個別教育訓練 |
---|
資安事件通報流程
事件發生
當發生資訊安全事件時,員工應依據「欣興電子資訊安全事件通報處理管理程序」立即通報單位主管
通報作業
- 由單位主管回報資訊安全官
- 由資訊安全官依據內部作業辦法將資訊安全事件依據是否屬重大異常事件、是否為洩密事件、及是否涉及一級主管,分級分類
洩密問題處理
通報各該層級主管及權責單位;若屬重大異常事件,則必須陳報至相關廠/部一級主管、事業處總經理、資安長與執行總經理;如為重大異常且疑洩密事件,應增通報人力資源處與稽核室
資訊安全事件處理
若洩密屬實,則由法務/人資單位依法或公司規定處理
結案
安全事件等級3級(含)以上需填寫「資訊異常事件報告書」呈報至資訊安全官以上
資訊安全事件統計
說明 | 單位 | 2020年 | 2021年 | 2022年 | 2023年 |
---|
重大資訊安全事件 | 件數 | 1 | 0 | 0 | 0 |
---|
涉及客戶隱私之違規事件 | 件數 | 0 | 0 | 0 | 0 |
---|
因資訊洩露致受影響的客戶數量 | 客戶數 | 0 | 0 | 0 | 0 |
---|
因資訊安全事件而支付的罰款/罰金總額 | 元 | 0 | 0 | 0 | 0 |
---|