資通安全

資安風險管理架構
本公司設置資訊室為資安專責單位,配置一名資訊安全專責主管及二名資安人員,負責統籌資訊安全管理機制之規劃與執行。
主要職責包括:擬定並推動資訊安全政策、辦理資安宣導與教育訓練、強化員工資安意識、持續精進資訊安全管理系統之效能與成效,並依內部稽核及外部環境變化持續改善資安防護措施。
每年至少一次向董事會報告資訊安全管理執行情形與改善成果,以確保董事會有效監督資安風險之管理。近期向董事會報告日期為114年11月10日。

資安政策
為落實資安管理,公司訂有內部控制制度—資訊循環及資訊安全管理辦法,藉由全體同仁共同努力期望達成下列政策目標
  • 1. 確保資訊資產之機密性、完整性與可用性
  • 2. 確保資訊系統之持續運作
  • 3. 定期執行資安稽核作業,確保資訊安全落實執行

具體管理方法及投入資源
  • 1. 架設防火牆
    1. A.防火牆設定連線規則
    2. B.如有特殊連線需求需額外申請開放。
  • 2. 資料備份機制
        重要資訊系統資料庫皆設定每日完整備份,各部門將檔案上傳至檔案伺服器由資訊部統一備份保存。
  • 3. 防毒軟體
        使用防毒軟體,並自動更新病毒碼,定期檢視防毒報告,降低病毒感染機會。
  • 4. 應變復原機制
    1. A.定期檢視緊急應變計劃
    2. B.每年定期演練系統復原
    3. C.建立系統備份機制,落實異地備份
    4. D.定期檢討電腦網路安全控制措施
  • 5. 資料存取管控
    1. A.電腦設備應有專人保管,並設定帳號與密碼
    2. B.依據職能分別賦予不同存取權限
    3. C.調離人員取消原有權限
    4. D.遠端登入管理資訊系統應經適當之核准
  • 6. 架設弱點掃描主機
    1. A.針對無法自動回應的聯網設備如網路印表機、switch、無線AP…做主動式的弱點掃描。並於每年上半年、下半年各做一次。
    2. B.對於有偵測到的弱點,給予適當的韌體修補,並確認設備能正常運作。如無法修復則建議公司更換設備,以確保資訊安全。
    3. C.弱掃的Patten設為每日自動更新,以確保最新的弱點都能偵測出來。
  • 7. 建置EDR系統
    1. A.建置EDR主機,確保所有的電腦以及主機均能自動回報異常事件,並給予及時的修復或是防範。
    2. B.EDR主機將於版本更新時,確認運作能夠正常,以及使用最新的技術防範。至少每年檢查一次更新的需求。

    投入資通安全管理之資源
    • 1. 設置資訊室,配置一名資訊安全專責主管及二名資安人員,統籌規劃並執行公司資安管理相關事務。
    • 2. 更新磁碟主機設備,以確保存放所有虛擬機、ERP 系統及電子簽核系統等資料之安全與穩定性。
    • 3. 維護資安防護效期,定期每月更新 Windows 作業系統,購置並續約防毒軟體,持續執行伺服器弱點掃描與滲透防護檢查,推動社交工程演練,提升員工資安意識,防範惡意電子郵件威脅,全面強化資訊安全防護。114年鴻呈實業投入更新等資安防護工具軟體、設備共計新台幣27萬元。
    • 4. 每年辦理災難復原(DR)演練計畫,確保突發事件發生時能即時啟動應變機制,降低營運中斷風險。

    教育訓練
    持續進行即時資安宣導,加強員工資安防護意識,防範惡意電子郵件操作,以提升資安意識確保同仁隨時維持高度資安警覺。於114年度針對全公司(不含直接人員)共實施 7 次資安宣導。

    重大資通安全事件
    鴻呈於 114 年度未發生重大資安事件。

    辦法