重大主題 | 資訊安全 |
政策 | • 「資訊安全政策」 |
承諾 | • 致力於欣興電子ESG治理策略,提升客戶滿意與信任,穩固公司永續發展根基 |
責任單位 | • 資訊安全委員會 |
投入資源 | • 透過資安雙週會議,進行跨部門合作,並持續檢視執行成果 |
申訴機制 | • 各資訊安全委員會代表 |
2022年目標 | • 重大資安事件數:0件 |
行動方案 | • 關鍵供應鏈資訊通訊安全強化,推廣關鍵供應鏈郵件通訊加密(TLS) |
2022年實際績效 | 重大資安事件數:0件 |
保障客戶知識產權及商業資訊,是我們業務及商業道德管理重點,透過完善的「資訊安全政策」及ISO 27001資訊安全管理系統的控管,2022年欣興電子的資訊安全主軸為供應鏈資訊安全管理,身為客戶上游供應鏈重要的合作夥伴,欣興電子致力於提升客戶的信心,並藉由不同的第三方資訊安全稽核平台,取得優於業界平均與關鍵客戶要求之分數,證明欣興電子的資訊安全成熟度優於標準。
為維護公司資訊資產之機密性、完整性與可用性,並保障客戶及個人資料隱私之安全,欣興電子制定《資訊安全政策》,期望藉由本公司全體同仁的共同努力來達成下列目標:
欣興電子設有「資訊安全委員會」管理公司層級的資訊保護機制,並於2022年設立資安長(CISO)及資安專職單位,主導雙周資訊安全會議,透過PDCA滾動式檢視使運作更臻完善,包含內部資安宣導及演練、資產盤點與分類,及資料存取管控與資安預警等機制,定期向董事長及事業處高階主管提供資安報告,並取得國際資訊安全驗證,以降低資訊安全風險,保障客戶隱私。
企業資安組 |
• 主持資安會議 • 資安政策制度擬定決議執行 |
資通訊 |
• 系統及技術管制解決方案評估 • 資安系統維運與權限對應調整 |
人資 |
• 教育訓練排定與宣導作業 • 人事規章指引及獎懲作業 |
稽核 |
• 資安政策實施效果評鑑,並持續評估有效性 • 資安事件舉報與處置 |
法務 |
• 法規類別資安議題主導 • 法律條文釋法與諮詢 |
智權 |
• 營業秘密與專利資產審查與協助價值判定 • 營業秘密與專利註冊系統申請,審核與維護 |
事業群資安窗口 |
• 推展資安政策至事業部,並追蹤 • 回報事業部意見,為事業部與委員會間溝通橋樑 • 反應及回報事業部資安事件 |
為保障客戶知識產權及企業機密文件,除透過完善的「資訊安全政策」及每年ISO/IEC 27001資訊安全管理系統驗證外,欣興電子以風險評鑑、終端電腦管理、資訊機房管理、防毒防駭管理、教育訓練,及系統及網路安全管理等六大面向發展相關具體管理方案,妥善維護客戶資料及資訊安全。
針對疫情期間,將郵件應用推展至雲端服務,並搭配虛擬化桌面以支援疫情時期遠端辦公的作業韌性,同時建置網頁應用程式防火牆(WAF),針對集團外部網站進行資訊安全漏洞的主動防護。因應微軟IE瀏覽器的全面終止支援,進行內部各項系統的相容性修正,並同時搭配威脅偵測應變服務(MDR),來強化欣興電子整體資訊安全防護並減緩風險。
社交攻擊演練 | 受測對象 | 測試結果 | 資安意識強化措施 |
首測 | 有電子郵件帳號之同仁 | 開啟惡意連結並輸入帳密:0.6%(2021年2.2%,2020年3.1%) | 測試未通過之同仁已進行二次宣導,及安排測驗 |
再測 | 首測未通過之同仁(217人) | 開啟惡意連結並輸入帳密:4人未通過 | 由其主管個別教育訓練 |
課程名稱 | 對象 | 應訓人數 | 已訓人數 | 受訓比例(%) | 上課時數 |
資訊安全宣導 | 5職等(含)以上台灣及派駐大陸地區之台籍同仁(含DL) | 4,561 | 4,559 | 99.96 | 1小時 |
營業秘密的法律與倫理講析 | 1小時 | ||||
營業秘密進階課程 | 1小時 | ||||
智慧財產權概念 | 1小時 |
註1:2022年度受訓期間為2022/7/1起至2022/9/16止,故到職滿三個月之受訓對象為2022/3/31前到職之5職等(含)以上台灣及派駐大陸廠區之台籍同仁(含DL)。
註2:2022年4月1日起到職之未完成訓練之人員,將納入次一年度之應訓名單中。
註3:未訓2人中,包含長期病假1人、產假1人。
因應外部攻擊逐漸複雜化,欣興電子在資訊安全防護上,採用縱深防禦概念,藉由佈署防火牆、郵件過濾、端點安全防護、多重要素驗證(MFA)等防護機制,來保護資訊資產,並同時藉由外部第三方的資安檢測平台,作為衡量資訊安全成熟度的客觀依據。2022年導入資訊安全監控中心(SOC)機制,以強化各資訊環節的可視性,並加速資訊安全事件反應速度,並藉由定期的審查來調整資訊安全架構,以符合持續營運與監管單位之要求。
2022年未發生重大資訊安全事件,為持續提升公司整體資安能力,已完成如下構面強化措施:
• 流量管控:強化內外部跨廠間防火牆,及異常流量偵測分析能力,落實端點電腦(endpoint)資料輸出紀錄查核
• 帳號管控:強化多因子驗證及跳板主機之授權控管
• 備份優化:資料備份及快速復原架構改善
• 治理政策:強化弱點掃描、24H服務與資安監控(SOC)、移動式儲存媒體(USB)管理、手持移動照相裝置管理、資訊分級保密制度、列印機敏字控管、員工資安訓練及滲透釣魚演練等
• 投入資安管理資源:設置資安長與資安專責組織、加入資安情資分享組織-台灣電腦網路危機處理暨協調中心(TWCERT)
說明 | 單位 | 2019年 | 2020年 | 2021年 | 2022年 |
重大資訊安全事件 | 件數 | 0 | 1 | 0 | 0 |
涉及客戶隱私之違規事件 | 件數 | 0 | 0 | 0 | 0 |
因資訊洩露致受影響的客戶數量 | 客戶數 | 0 | 0 | 0 | 0 |
因資訊安全事件而支付的罰款/罰金總額 | 元 | 0 | 0 | 0 | 0 |