企業資訊安全治理組織
瀚荃重視資訊安全並建置完整資安防護與資料保護機制,於2021年成立「資訊安全管理委員會」,指派由資安長負責督導資通安全相關事項,定期向董事會彙報資安管理成效、資安相關議題及方向。
「資訊安全管理委員會」下設四個分組,負責各項資通安全項目:
(1)風險管理小組:資訊及資通系統之盤點及風險評估。
(2)文件管制小組:訂定公司資通安全相關規章、程序及制度文件,並確保文件合乎法令及契約之要求。
(3)內部稽核小組:辦理資通安全內部稽核。
(4)事件處理小組:資通安全事件之通報及應變機制之執行。
資訊安全組織架構
資訊安全架構
管理機制
為有效落實資安管理,透過涵蓋台灣廠區與海外子公司各單位的「資訊團隊」,定期召開例行會議,檢視資訊安全政策適用性與保護措施,並定期與「資訊安全管理委員會」回報執行成效。
資訊安全管理方案:
- 保護系統:強化具派送功能伺服器安全,如防毒軟體中控、AD伺服器、資產管理系統等因具有軟體派送功能,更需注意安全更新;最小化開放埠的設置,勒索軟體可能會利用對外曝露的服務和開放埠(例如 RDP埠3389和SMB 埠445)在網路中傳播,除了確認其開放的必要性外,還應確認使用這些服務的對象為可信任
- 強化網路防火牆與網路控管:為防止電腦病毒擴散,阻止任何與已知惡意IP、URL 的網路連線行為,禁止使用允許任何連線的規則,只允許與對外服務的IP、DN進行連線;貫徹人員最小使用權限原則,減少攻擊者獲得管理權限的機會,控制和限制存取權限,對於管理者以外的使用者僅提供工作所需的最低權限,定期檢視並禁用非活動帳戶,實施多因子身分驗證等。因應環境改變投入評估測試應用程式防火牆強化L3網路層以及L7應用層 整合型網路安全,2025年度上線。
- 提高信息安全意識:期對員工進行培訓,建立良好資安意識及網路使用習慣,例如識別可疑電子郵件,不要隨意點擊連結,不打開未知或不受信任來源的電子郵件的附件;任何內外部資料保密意識不可隨意影印或傳真至外部,必須有審核机制執行作業
- 保護資料:維護更新的備份並保持離線,定期執行備份與演練;加密重要或敏感資料,導入具有文件加密功能之軟體與文件保全管理系統,避免機敏資料外洩;落實3-2-1備份原則;依據RTO、RPO與MTPD之要求選擇重要系統製作映像檔(image file);可以利用這些映像檔達到快速部署恢復。建置自動備份系統與SanStore儲存器交叉備份,確保資料可用性完整性
- 準備事件應變計劃:事件發生之前就先制定好事件應變計畫並進行演練,同時也要準備好當事件發生時可尋求協助的外部資安單位、警調清單與聯絡方式。當監測系統、機房等單位進行事件通知時,將啟動應變作業並建立緊急應變小組,在調查問題與提出解決方法的同時,確認事件等級與影響範圍,並決定與執行應變措施,解決事件後執行復原作業並記錄事件
| 事業單位 |
|
| 資管中心 |
|
| 與時俱進 |
|
2025年投入資通安全管理執行情形
1.內部資安會議:
本年度我們定期召開多次內部資安審查會議,重點議題包含年度合規審查與災害復原演練。
在設備與基礎架構方面,因現行 VPN 設備的遠端存取安全性已不再支援,預計於 115 年度全面升級安全機制。同時也持續優化 EMC 系統管理與 ICT EMS Portal 平台,不僅提升系統可用性,也強化整體資安監控與應變效率。
此外,我們安排年度外部攻擊面掃描(EASM)與源碼分析,從外部視角預先識別潛在弱點,確保在威脅發生前即完成漏洞修補,讓系統更加穩健。
2.資安認證:
瀚荃已於 113 年 7 月通過 ISO/IEC 27001:2022 的轉版驗證,資訊安全管理系統(ISMS)全面符合最新國際標準。
本次稽核未發現任何重大缺失,顯示公司的資安管理制度運作良好,並能持續滿足國際要求。
這不僅強化內部成員對資安制度的信任,也向外部利害關係人展現我們對資訊安全的高度承諾。
3.教育訓練:
為提升同仁對資訊安全的敏感度與應對能力,本年度完成兩次以上的資訊安全教育訓練與測驗考核。
年度資安訓練以「資安韌性(Cyber Resilience)」為核心觀念——從「避免被駭」的思維,進一步推進至「即便遭遇攻擊也能快速恢復」的彈性與應變能力。
4.資安公告
114 年度透過季刊郵件與即時通訊平台,我們定期向全體同仁發布資安資訊,並關注以下三大核心趨勢:
AI 威脅應對:包含 AI 生成的精準釣魚信件與深偽影片,協助同仁辨識詐騙與判斷訊息真偽。
弱點管理透明化:定期公告弱點掃描結果並明確規範修復時效,提升整體風險掌握度。
資安意識提升:以淺顯易懂的格式,讓所有同仁能即時掌握最新資安趨勢與防護重點。