隱私與資通安全

致伸集團致力保護客戶資訊安全,以維護客戶的權益。本公司針對客戶隱私致伸集團致力保護客戶資訊安全,以維護客戶的權益。本公司針對客戶隱私與機密資訊訂有管理程序,以「最小權限」為原則,與客戶專案相關並接觸機密敏感資料才可以通過內部申請取得存取資訊的權限,並由集團資安部門定期審查資安相關程序文件,確保適時更新符合客戶需求及要求之資通安全管理強度。

資通安全組織架構

為提升集團安全管理了成立集團資通安全部門,財務暨資訊總經理是最高負為提升集團安全管理了成立集團資通安全部門,財務暨資訊總經理是最高負責人,資通安全部門負責資通安全政策推動及資源調度事務,由專責資安同仁,確保資通安全各項管理規範與管控措施能有效持續地執行實施。

IT 1

致伸集團資通安全管理與持續改善架構

 

IT 2

資通安全管理機制

對於所有客戶隱私與機密資訊是以需者方知(Need-to-know)為基礎,並從人(People)、流程(Process)與技術(Technology)三要素著手執行相關的保護機制與措施,以確保客戶隱私及機密資訊的安全,摘要如下:

IT 3

資通安全管理作為

  • 為了符合內部資安規範與外部監管單位的要求,集團已建立資訊安全管理系為了符合內部資安規範與外部監管單位的要求,集團已建立資訊安全管理系統及資通安全管理程序且已訂定9項資通安全目標,每月統計達成結果並保留相關記錄。
  • 為強化資安防護能力,每年請廠商執行駭客滲透測試,以各式駭客手法分析可能遭遇駭客攻擊的漏洞與情境,針對檢測結果中的高風險項目均會進行改善,透過持續提升資安防護品質。
  • 為提升應用系統安全與降低風險,每年定期執行系統設備弱點掃描並對中高風險的弱點進行修補,並已導入電腦資產管理系統、用戶端特權帳號管理、行動裝置安全防護、雙因子認證(MFA)強化機制及特權帳號集中管理機制等,降低機密或敏感性資料異常事件的發生,持續針對惡意或垃圾郵件過濾與透過資安事件管理系統(SIEM)日誌監控並導入資料外洩保護機制(DLP),以期達成異常即時監控,強化資通安全管理機制。
  • 針對公司營運相關重要系統,定期執行資料備份及同地備援機制,強化企業資安風險對應靭性。
  • 定期安排一年兩次的資安意識教育訓練及一年6次社交工程演練,經由電子郵件、即時通訊和數位電視等方式,進行資通安全防護和時事案例宣導,強化集團員工的資安意識。此外,已於2018年6月開始投保Cyber Risk Insurance /Commercial Crime Insurance保險,以降低業務中斷所造成的風險損失及求償責任,期望成為於資安治理成熟度表現傑出之企業。
  • 本公司已於2018年1月通過「ISO 27001:2013」國際標準認證,目前證書之有效期為2021年2月12日至2024年2月11日,並規劃2023~2027的5年擴大驗證計畫且每年通過第三方驗證公司的續審驗證。

IT 4

資通安全管風險評鑑

本公司定期盤點資訊資產,更新資產清冊。並且每年評鑑與資訊資產相關的風險,管控高風險項目,以降低風險發生的可能性及產生的衝擊,確保本公司資通安全的長治久安。

資通安全於今年度仍然列為企業營運的重大風險之一,致伸已建立全面的網路與電腦相關資安防護措施,但惡意的駭客亦能試圖將電腦病毒、破壞性軟體或勒索軟體導入公司的網路系統,以干擾公司的營運、對進行勒索,取得電腦系統控制權,或窺探機密資訊。這些攻擊可能導致公司因延誤或中斷訂單而需賠償客戶的損失;或需擔負龐大的費用實施補救和改進措施,以加強公司的網路安全系統。

為了預防及降低此類攻擊所造成的傷害,持續更新落實相關改進措施,例如:強化網路防火牆與網路控管;依電腦類型建置端點防毒措施;導入新技術加強資料保護及備份;加強釣魚郵件的偵測;並定期執行社交工程郵件測試及員工資安意識訓練。

資通安全內部查核

資通安全部門-資安稽核小組依據風險性訂定評估項目,每年會進行資通安全自行評估及檢核作業,並將評估結果及佐證資料,交稽核部覆核。本公司稽核部目前每半年執行一次資訊循環查核,其中資通安全為必要查核項目,並定期至少每年一次將所有查核結果分別向審計委員會及董事會報告。

產品研發與製造安全

公司研發與製造單位一直以來,依據集團資通安全政策及客戶要求與期望,持續進行研發與製造業務,藉由實體與電子等各項管控流程,保護產品機密資訊與製程技術,同時維持客戶要求與相關第三方認證資格。

IT 5