资通安全

资安风险管理架构
本公司设置信息室为资安专责单位,配置一名信息安全专责主管及二名资安人员,负责统筹信息安全管理机制之规划与执行。
主要职责包括:拟定并推动信息安全政策、办理资安倡导与教育训练、强化员工资安意识、持续精进信息安全管理系统之效能与成效,并依内部稽核及外部环境变化持续改善资安防护措施。
每年至少一次向董事会报告信息安全管理执行情形与改善成果,以确保董事会有效监督资安风险之管理。近期向董事会报告日期为114年11月10日。

资安政策
为落实资安管理,公司订有内部控制制度—信息循环及信息安全管理办法,藉由全体同仁共同努力期望达成下列政策目标
  • 1. 确保信息资产之机密性、完整性与可用性
  • 2. 确保信息系统之持续运作
  • 3. 定期执行资安稽核作业,确保信息安全落实执行

具体管理方法及投入资源
  • 1. 架设防火墙
    1. A.防火墙设定联机规则
    2. B.如有特殊联机需求需额外申请开放。
  • 2. 数据备份机制
        重要信息系统数据库皆设定每日完整备份,各部门将档案上传至文件服务器由信息部统一备份保存。
  • 3. 防病毒软件
        使用防病毒软件,并自动更新病毒特征,定期检视防毒报告,降低病毒感染机会。
  • 4. 应变复原机制
    1. A.定期检视紧急应变计划
    2. B.每年定期演练系统复原
    3. C.建立系统备份机制,落实异地备份
    4. D.定期检讨计算机网络安全控制措施
  • 5. 资料存取管控
    1. A.计算机设备应有专人保管,并设定账号与密码
    2. B.依据职能分别赋予不同访问权限
    3. C.调离人员取消原有权限
    4. D.远程登录管理信息系统应经适当之核准
  • 6. 架设弱点扫描主机
    1. A.针对无法自动应答的联网设备如网络打印机、switch、无线AP…做主动式的弱点扫描。并于每年上半年、下半年各做一次。
    2. B.对于有侦测到的弱点,给予适当的韧体修补,并确认设备能正常运作。如无法修复则建议公司更换设备,以确保信息安全。
    3. C.弱扫的Patten设为每日自动更新,以确保最新的弱点都能侦测出来。
  • 7. 建置EDR系统
    1. A.建置EDR主机,确保所有的计算机以及主机均能自动回报异常事件,并给予及时的修复或是防范。
    2. B.EDR主机将于版本更新时,确认运作能够正常,以及使用最新的技术防范。至少每年检查一次更新的需求。

    投入资通安全管理之资源
    • 1. 设置信息室,配置一名信息安全专责主管及二名资安人员,统筹规划并执行公司资安管理相关事务。
    • 2. 更新磁盘主机设备,以确保存放所有虚拟机、ERP 系统及电子签核系统等数据之安全与稳定性。
    • 3. 维护资安防护效期,定期每月更新 Windows 操作系统,购置并续约防病毒软件,持续执行服务器弱点扫描与渗透防护检查,推动社交工程演练,提升员工资安意识,防范恶意电子邮件威胁,全面强化信息安全防护。114年鸿呈实业投入更新等资安防护工具软件、设备共计新台币27万元。
    • 4. 每年办理灾难复原(DR)演练计划,确保突发事件发生时能实时启动应变机制,降低营运中断风险。

    教育训练
    持续进行实时资安倡导,加强员工资安防护意识,防范恶意电子邮件操作,以提升资安意识确保同仁随时维持高度资安警觉。于114年度针对全公司(不含直接人员)共实施 7 次资安倡导。

    重大资通安全事件
    鸿呈于 114 年度未发生重大资安事件。

    办法