資訊安全與客戶隱私
資安委員會運作
於 2015 年,華立籌組『資安管理委員會』的跨部門組織。委員會的主要職責包括統籌制定和審核各種資訊安全風險管理制度,以及推動相關事宜。委員會的召集人由策略規劃處的最高主管擔任,並於2023年10月設置資訊安全主管及資訊安全人員各一名,且由資安主管擔任執行秘書。
為了有效管理資訊安全,設立了四個小組,分別為『政策規劃小組』、『資安推動小組』、『資安稽核小組』和『資安執行小組』,透過這些小組以統籌作業原則的規劃、資訊安全指導、資訊安全稽核,以及協助資安相關事宜。每半年定期召開會議,針對公司和集團的資安政策以及重大資安風險進行討論,以制定相應的改善策略並持續推動。2023 年分別於 4 月和 10 月召開兩次資安委員會的會議,會議中進行以下議題的說明與討論:
- 當年度資安計畫及執行成果說明
- 資安查核的結果揭露及改進措施
- 主力客戶對供應商資訊安全評鑑
- 文件存放、銷毀成果及當年度銷毀計畫
- 當年度推導的資安重點
- 近期重要的資安事件分享
資安管理委員會組織圖
人資部主管
稽核室主管
法務課主管
客戶隱私與資安管理
本公司對個人資料的蒐集處理或利用,都嚴守個資法規定,以嚴謹的管理機制,確保員工及客戶的個資安全,擬定訓練計畫及實施教育訓練,以落實個資法保護,並針對系統面及制度面,加強軟硬體上資訊安全,同時確保員工擁有資安方面之知識,以確保客戶隱私。報導期間內未發生侵犯客戶隱私事件。
| 系統面 | 行動裝置安全 | 個人電腦除安裝防毒軟體外,也導入 MDR (Managed Detection and Response : 託管式偵測及回應) 電腦端點風險偵測,強化及防堵惡意攻擊行為識別能力。 |
|---|---|---|
| 手機加裝公司專屬 MDM APP,防止駭客透過手機裝置取得個人資訊,進一步防堵進入公司系統的通道。 | ||
| 電子郵件安全 | 已導入郵件防護系統,可偵測最新垃圾郵件、釣魚郵件等攻擊,並透過沙箱機制將有害郵件防堵於郵件系統之外。 | |
| 應用程式安全 | 已導入之網頁應用防火牆 (WAF, Web Application Firewall),防堵駭客透過網頁或站台弱點取得個人登入資訊與進一步入侵及資料竊取行為。 | |
| 檔案及權限管理 | 所有系統均依個人職務,經權限申請核定後給予適當權限,個人權限外之系統及資料皆無法接觸到。除系統存取紀錄可查詢外,文件也搭配浮水印機制文件皆受保護。對於需接觸機敏性高之客戶人員電腦,實施USB限制使用防止資料外洩。 | |
| 多因子驗證 | 強化公司系統使用人員之二次身分驗證,確保使用人員身分證正確性。 | |
| 特權帳號 | 公司內部主機、重要設備皆透過特權帳號系統代為登入執行操作,確保系統特權帳號密碼不因洩露或遭側錄使駭客入侵。 | |
| 弱點掃描系統 | 藉以透過定期對於公司內部主機與電腦進行掃描找出存在的內部風險並及早因應修補。 | |
| 制度面 | 公司成立資安委員會,每半年召開一次,落實企業資訊安全作業,讓資訊安全不再流於形式與口號。 | |
| 每年定期舉辦全體同仁資安個資教育訓練,藉由宣導及案例分享提升同仁資安自我防衛觀念。 | ||
| 稽核室每年定期執行一次資訊安全內稽內控查核,2023 年稽核對於資安稽查無發生缺失。 | ||
| 會計師每年定期執行一次資訊查核,2023 年稽核對於資安稽查無發生缺失。 | ||
| 將借重三位已取得 ISO 27001 稽核輔導員資格的同仁,請其依規範建立各項資安制度及法規,進一步與國際規範接軌。 | ||
透過前述系統面及制度面的多項具體作法,確保公司在網路、移動裝置、電子郵件及應用程式各面向的安全,提高客戶對公司的信任度並且維持營運不中斷。
2023年資安防護重點
近年,眾多企業面臨著不同的資安事件,資訊安全在各企業中扮演的角色著愈來愈重要。以我們的半導體產業客戶為例,他們對於自身的資訊安全防護皆採行高規格,同樣以此標準要求與其往來的供應商,並透過定期的資安環境考核,評定供應商的資安層級,需達到相關規範以取得持續供貨資質。
華立企業成立 50 多年始終秉承永續經營的理念,為保護敏感的業務資訊特別重視資訊安全,並成立資安委員會統籌運作。近幾年本公司不斷在資訊安全進行人力及物力的投入,以建立完善的資安環境,2023 年持續導入多項資安系統及防護作業,目前公司資訊安全的環境已日趨完善,未來將持續投入資源,力求能達到更為安全的防護水平。
企業經營面臨不間斷的資安風險,因此,我們深知安全防護工作是一場永無止盡的挑戰,每年需因應資安環境的變化,調整公司的資安政策與方向,確保公司與客戶之資訊安全。華立企業2023年導入之資安防護重點如下:
- 持續導入個人電腦的 MDR 電腦端點風險偵測及移動裝置的MDM移動裝置管理系統。
- 於 Web Server 導入 WFA 網頁應用系統防火牆並導入 CyberARK 特權帳號管理。
- 請外部資安廠商進行全公司的弱點掃描,並針對檢測出的漏洞進行改善。
每年針對所有員工開設資訊安全教育訓練,課程主題包含建立正確的資安意識、郵件使用注意事項、windows10 作業系統安全更新、即時通訊軟體使用原則、公司資訊安全規定…等,讓同仁能知悉資訊防護的重要性與如何防範的因應之道。2023 年舉辦的資訊安全培訓課程,共有 158 人次參加。
除了舉辦資安教育訓練外,並不定期以公告方式對員工進行資安防護宣導,如:受勒索軟體攻擊致服務癱瘓、建議避免使用公共充電站,以及提醒員工注意假冒公司高層名義之詐騙郵件,透過這些宣導提醒同仁對於資安風險的警覺性。
