隐私与资通安全

致伸集团致力保护客户资讯安全,以维护客户的权益。本公司针对客户隐私致伸集团致力保护客户资讯安全,以维护客户的权益。本公司针对客户隐私与机密资讯订有管理程序,以「最小权限」为原则,与客户专案相关并接触机密敏感资料才可以通过内部申请取得存取资讯的权限,并由集团资安部门定期审查资安相关程序文件,确保适时更新符合客户需求及要求之资通安全管理强度。

资通安全组织架构

为提升集团安全管理了成立集团资通安全部门,财务暨资讯总经理是最高负为提升集团安全管理了成立集团资通安全部门,财务暨资讯总经理是最高负责人,资通安全部门负责资通安全政策推动及资源调度事务,由专责资安同仁,确保资通安全各项管理规范与管控措施能有效持续地执行实施。

IT 1

致伸集团资通安全管理与持续改善架构

 

IT 2

资通安全管理机制

对于所有客户隐私与机密资讯是以需者方知(Need-to-know)为基础,并从人(People)、流程(Process)与技术(Technology)三要素着手执行相关的保护机制与措施,以确保客户隐私及机密资讯的安全,摘要如下:

IT 3

资通安全管理作为

  • 为了符合内部资安规范与外部监管单位的要求,集团已建立资讯安全管理系为了符合内部资安规范与外部监管单位的要求,集团已建立资讯安全管理系统及资通安全管理程序且已订定9项资通安全目标,每月统计达成结果并保留相关记录。
  • 为强化资安防护能力,每年请厂商执行骇客渗透测试,以各式骇客手法分析可能遭遇骇客攻击的漏洞与情境,针对检测结果中的高风险项目均会进行改善,透过持续提升资安防护品质。
  • 为提升应用系统安全与降低风险,每年定期执行系统设备弱点扫描并对中高风险的弱点进行修补,并已导入电脑资产管理系统、用户端特权帐号管理、行动装置安全防护、双因子认证(MFA)强化机制及特权帐号集中管理机制等,降低机密或敏感性资料异常事件的发生,持续针对恶意或垃圾邮件过滤与透过资安事件管理系统(SIEM)日志监控并导入资料外洩保护机制(DLP),以期达成异常即时监控,强化资通安全管理机制。
  • 针对公司营运相关重要系统,定期执行资料备份及同地备援机制,强化企业资安风险对应靭性。
  • 定期安排一年两次的资安意识教育训练及一年6次社交工程演练,经由电子邮件、即时通讯和数位电视等方式,进行资通安全防护和时事案例宣导,强化集团员工的资安意识。此外,已于2018年6月开始投保Cyber Risk Insurance /Commercial Crime Insurance保险,以降低业务中断所造成的风险损失及求偿责任,期望成为于资安治理成熟度表现杰出之企业。
  • 本公司已于2018年1月通过「ISO 27001:2013」国际标准认证,目前证书之有效期为2021年2月12日至2024年2月11日,并规划2023~2027的5年扩大验证计画且每年通过第三方验证公司的续审验证。

IT 4

资通安全管风险评鑑

本公司定期盘点资讯资产,更新资产清册。并且每年评鑑与资讯资产相关的风险,管控高风险项目,以降低风险发生的可能性及产生的冲击,确保本公司资通安全的长治久安。

资通安全于今年度仍然列为企业营运的重大风险之一,致伸已建立全面的网路与电脑相关资安防护措施,但恶意的骇客亦能试图将电脑病毒、破坏性软体或勒索软体导入公司的网路系统,以干扰公司的营运、对进行勒索,取得电脑系统控制权,或窥探机密资讯。这些攻击可能导致公司因延误或中断订单而需赔偿客户的损失;或需担负庞大的费用实施补救和改进措施,以加强公司的网路安全系统。

为了预防及降低此类攻击所造成的伤害,持续更新落实相关改进措施,例如:强化网路防火墙与网路控管;依电脑类型建置端点防毒措施;导入新技术加强资料保护及备份;加强钓鱼邮件的侦测;并定期执行社交工程邮件测试及员工资安意识训练。

资通安全内部查核

资通安全部门-资安稽核小组依据风险性订定评估项目,每年会进行资通安全自行评估及检核作业,并将评估结果及佐证资料,交稽核部覆核。本公司稽核部目前每半年执行一次资讯循环查核,其中资通安全为必要查核项目,并定期至少每年一次将所有查核结果分别向审计委员会及董事会报告。

产品研发与制造安全

公司研发与制造单位一直以来,依据集团资通安全政策及客户要求与期望,持续进行研发与制造业务,藉由实体与电子等各项管控流程,保护产品机密资讯与制程技术,同时维持客户要求与相关第三方认证资格。

IT 5