資訊安全管理
致茂電子身為精密量測儀器設備研發大廠,致力於透過創新科技及與關鍵夥伴的緊密合作來深化資訊安全架構、保護本公司重要資訊資產與客戶資料安全。面對日益嚴峻的資安威脅,我們於2022年1月取得ISO 27001資訊安全認證,透過規劃 - 執行 - 檢查 - 改善(PDCA)的概念模型來實現改進的循環過程。更於2024年12月完成ISO 27001:2022的改版驗證審查,範圍亦擴及子公司匯宏科技與荷蘭分公司。
資訊安全管理架構
致茂電子為提升集團安全管理,每年定期向董事會報告資訊安全管理執行情形,最近一次提報於2024年10月31日董事會報告。資訊安全管理辦公室目前由資訊安全稽核小組、資訊安全管理小組、資訊安全緊急應變小組以及各事業部資訊安全管理窗口組成。
資訊安全管理辦公室負責推動資訊安全管理制度與執行各項資訊安全管理事項,每年至少召開一次管理審查會議,定期審查過往審查議題之處理狀況,並檢討與資訊安全管理系統有關之內部及外部議題,落實於管理系統中。
資訊安全管理作為
根據致茂電子資安執行模型,資訊安全管理具體作為如下:
1. 網路安全:
導入先進偵測技術執行網路監控,阻擋惡意網路攻擊並蒐集資安威脅情資,防止電腦病毒擴散。
2. 裝置安全:
(1) 健全端點防毒掃毒機制,防止勒索病毒與惡意程式。
(2) 郵件系統強化惡意軟體、木馬程式附件與釣魚郵件偵測。
(3) 上網行為進行偵測與阻擋高危險惡意特徵網站與惡意連結或檔案下載。
3. 應用程式安全:
制定應用程式的開發流程安全檢查、評核標準及改善目標。持續強化應用程式的安全控管機制,修補可能存在的漏洞。
4. 資料保護:
訂定使用者密碼管理機制、網路安全區域隔離以維護存取控制及資料安全。
5. 人員帳號管理與教育訓練:
建立密碼原則並且要求定期更新,並定期進行員工資安意識教育訓練與測驗。
6. 資訊安全事件管理:
隨時監控並收集資安防護作業紀錄,蒐集與分析資安情資,建立資訊安全事件通報及處理程序。
Chroma 資安執行模組
資訊安全管理作為從人員、技術與流程三大要素,依據資安管理技術的辨識、保護、偵測、回應與復原五大構面,搭配各種資訊安全管理方案與流程,搭配資訊安全成熟度的概念,將網路安全風險管理的生命週期涵蓋,以建立評估的基準,進一步提升資安防禦水準。
2024年度資訊安全管理執行績效
完成67次備份資料還原驗證,確保備份資料可用性。
一般員工資訊安全意識教育訓練1次(2小時),每月進行資訊安全政策宣導並進行資訊安全意識測驗測驗1次,為提升員工對於資訊安全風險之應變與警覺性,資訊安全管理辦公室實施了不同階段的作法,如下:
檢討2024年各單位資安之執行情形,並無危害本公司資訊安全之事件或不管是來自外部各方(例如:客戶)並經由公司證實的投訴;或來自監管機關的投訴。
每年由ISO 27001外部稽核機構進行資訊安全管理之稽核與監督。
資安聯絡資訊
同仁發現資安的風險,可立即聯絡資安辦公室專責人員
