資通安全政策
資通安全管理之目的
1.確保晶相光電股份有限公司(以下簡稱「本公司」)之系統主機、電腦設備、網路設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊盗、不當使用、洩漏機密、不當竄改或破壞等風險,並建立資通安全管理規範。
2.確保公司業務資訊之機密性、完整性與可用性。
機密性:確保被授權之人員才可使用資訊。
完整性:確保使用之資訊正確無誤、未遭竄改。
可用性:確保被授權之人員能取得所需資訊。
資通安全政策內容
1.本公司各項資通安全管理規定必須遵守政府相關法規(如:資通安全管理法、上市上櫃公司資通安全管控指引、著作權法、個人資料保護法等)之規定。
2.成立資通安全管理專職單位,負責資通安全制度之建立及推動事宜。
3.建立公司系統主機及網路使用之管理機制。
4.定期實施公司內部資通安全教育訓練,宣導資通安全政策及相關規定。
5.系統及設備建置上線前,須將風險、安全因素納入考量,防範危害資通安全之情況發生。
6.明確規範網路及資訊系統之使用權限,防止未經授權之存取動作。
7.建立資訊機房實體及環境安全防護措施,並定期施以相關維護及保養。
8.訂定資通安全管理制度內部稽核制度,定期檢視資通安全管理制度範圍內所有人員及設備使用情形,並定期出具相關報告及預防措施。
9.針對公司核心系統訂定營運持續管理計劃,並定期執行備份/備援及還原之演練,確保公司業務持續運作。
10.委外廠商在執行本公司委外需求業務時,應評估委託業務相關之資安風險。
11.本公司所有人員皆負有維持資通安全之責任,且應遵守公司相關之資通安全管理規範。
12.資安政策之評估與審查應至少每年評估及審查一次,以反映管理政策、相關法令、新型資訊技術及公司業務等之最新發展現況,確保資通安全管理制度的可行性及有效性,以維持營運和提供適當服務的能力。
資通安全風險管理架構
1.本公司設置資訊安全管理委員會,審視公司資訊安全政策與監督資訊安全運作情形。由副總經理擔任主席,加強對於資訊安全工作的橫向溝通,以利資訊安全政策的推動與落實,並定期向公司高層報告資訊安全執行成果。
2.本公司資通安全之權責單位為行政管理處-資訊室,該單位設置專業資訊人員,負責訂定企業資通安全政策、規劃並暨執行資通安全防護與資安政策推動與落實。
3.本公司稽核室為資通安全監理之督導單位,該單位設置專職稽核人員,負責督導內部資安執行狀況,若有查核發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。
4. 公司資訊安全管理運作模式採定期稽核與循環式管理(PDCA管理),確保可靠度目標之達成且持續改善。
資訊安全管理機制
本公司資訊安全管理機制,包含以下四個面向:
- 資訊政策的制定:訂定公司資訊安全作業管理辦法,明確訂定人員對於資訊作業的行為。
- 訊科技的運用:建置資訊安全管理設施,並持續提升與汰換軟體、硬體資訊設施,以符合當前資安風險控管。
- 資安宣導與訓練:於公眾集會與信件中,持續對人員進行資訊安全宣導與教育訓練,提昇全體同仁資安意識。
- 資安稽核與改善:本公司稽核部門定時稽核資訊安全單位,針對資安與網路風險以風險評估之流程進行風險評估,適切提出控制點建議,資訊室依此作調整與改善。
資訊安全管理措施
| 類別 | 說明 | 相關措施 |
|---|---|---|
|
權限管理 |
帳號管理, 權限管理, 系統操作 |
●帳號權限管理與審核 |
|
存取控制 |
人員存取內外部系統, 資料傳輸管道安全措施 |
●內/外部存取管控 |
| 外部威脅 |
內部系統潛在弱點, 防毒防駭的保護措施 |
●主機及電腦弱點檢測與更新措施 |
| 系統可用 | 系統可用狀態與服務中斷時的處置措施 |
●系統/網路可用狀態監控及通報機制 |
本公司資通安全通報程序如下,資安事件之通報與處理,皆遵守該程序之規範進行
資通安全風險管理執行情形報告
說明:公司依照相關法令,如:資通安全法、上市櫃公司資通安全管控指引 等。已訂定「資訊安全政策」並於公司網站公告。資通安全推行小組依「資訊安全政策」持續進行公司資訊安全具體管理/改善方案並持續投入資源。
112年度各項資安檢測評估作業頻率及執行結果如下:
| 項 目 | 作業頻率 | 作業期間 | 結 果 |
| ERP 系統災難復原測試 | 每年一次 | 112年9月 | 無應列重大風險情形 |
| 電腦合法性軟體檢查 | 每年一次 | 112年12月 | 無應列重大風險情形 |
| ERP 系統權限設定檢查 | 每年一次 | 112年12月 | 無應列重大風險情形 |
| ERP 系統個人密碼定期 通知 |
不定期 | 不定期 | 無應列重大風險情形 |
| 資訊安全宣導 | 每年一次 | 112年11月 | 完成 |
| 機房巡檢 | 每日 | 國定假日除外 | 無應列重大風險情形 |
| 資料庫備份作業 | 每日(採本機/網路備份) | 每日 | 無應列重大風險情形 |
| 社交工程演練 | 每年一~二次 | 112年10月 | 完成 |
| 項 目 | 說 明 | 嚴重性 | 處 置 |
| 個人電腦疑似中毒事件 | 個人電腦(A0063)作業系統疑似有被殖入後門程式情形,並向特定網路IP進行異常通訊。 | 輕 | 已排除 |
| Netask系統疑似後門程式情形 | Netask系統(V2007) 作業系統疑似有被殖入後門程式情形,並向特定網路IP進行異常通訊。 | 中 | 已排除 |
112年度高風險資通設備系統列表:
| 項 目 | 說 明 | 嚴重性 | 處 置 |
| 個人電腦 | 個人電腦(A0038)因特殊工作內容,仍無法更新作業系統 | 低 | 列為持續改善項目 |
| 差勤系統 | 差勤系統(V2007)作業系統老舊,存在風險 | 中 | 列為持續改善項目 |
| KM系統 | 伺服器(H1001) 作業系統老舊,存在風險 | 低 | 列為持續改善項目 |
| PM系統 | 伺服器(H1001) 作業系統老舊,存在風險 | 低 | 列為持續改善項目 |
| 工作站 | 工作站(W5002) 作業系統老舊,存在風險 | 低 | 列為持續改善項目 |
演練期間:2023/10/16 ~ 2023/10/20
| 項 目 | 郵 件 主 旨 | 演練測試項目 | 合 格 率 |
| 1 | 員工旅遊一日遊行程票選 | 連結觸發 | 77.19% |
| 2 | 恭喜您! 雲端發票中獎通知 | 連結觸發 開啟附件 |
78.95% |
113年度資訊安全目標規劃:
| 項 目 | 控管方法及執行情形 |
| 系統備援建置 | 電子郵件系統建立備援設備,並定期執行系統還原測試 |
| 系統持續改善 | 差勤系統汰換/更新 KM系統更新 PM系統更新 工作站系統持續更新 |
| 持續保持無資訊安 全事故發生 |
不定期持續進行社交工程演練 核心系統弱點掃瞄-SOP建立 評估建立IDS/IPS網路安全機制 |
| 持續保持無資訊安 全事故導致系統資 料遺失發生 |
定期檢測/測試機房不斷電系統是否正常運作 電子簽核系統列入定期備份項目 |