資安管理
資訊安全管理架構
資訊安全組織架構
英業達由資訊安全長帶領總部與各廠區資訊安全管理部門主管,資安組織人員執掌說明如下。
- 資訊安全長:負責資安政策推動與資源調度,向總經理報告。
- 總部資安部門主管:負責集團資訊安全制度之規劃與管理,向資訊安全長報告。
- 總部資安部門同仁:負責集團資訊安全業務之執行、防護及監測。
- 各廠區資安主管:負責廠區資訊安全制度之規劃與管理,向資訊安全長報告。
- 各廠區資安部門同仁:負責廠區資訊安全業務之執行、防護及監測。
2023年資安目標及達成說明
目標 | 達成情形 |
---|---|
為避免意外事件影響公司營運,進行業務持續演練(BCP) | 已執行11次 |
強化資安事件因應能力,規劃資安通報演練 | 執行1次 |
公司重要主機進行弱點掃描每季一次 | 高風險嚴重弱點修補率為100% |
病毒偵測數量達30個以上的電腦應開立處理單 | 未開單不符件數0次 |
資安管理措施
- 依據 ISO 27001 國際資安管理標準,建立英業達資訊安全政策,各廠區遵循資安政策,考量當地的法規與業務規範,設定各廠資安目標,以滿足客戶對英業達資安的期望。
- 再由資安目標展開各單位資安管理作為,每年檢視資訊安全政策與目標的適切性,確保企業之系統、網路維運,達到機密性、完整性與可用性。
- 依據英業達董事會核定之『年度內部稽核計劃』,定期進行英業達資訊安全專案稽核, 監理資訊安全管理系統 (ISMS) 之風險評鑑規劃與資訊安全制度落實情形,並於董事會提報稽核結果。
- 同仁每年簽署「員工行為準則」中均包含資安防護事項,並適時發布資安公告,提醒同仁小心資安風險。
- 定期舉辦資安教育訓練,讓同仁知道英業達資安管理相關規定,培養同仁資安理念,並能遵守資安規定。
- 對一般同仁進行資安教育訓練宣導,提供同仁最新資安案例與熱門的資安資訊,提升同仁資安素養。
- 採次世代防火牆,鞏固網路邊界,防範外部威脅。
- 建立雙層防禦架構,將產線、用戶端、機房伺服器網路有效區隔,提升資安防護縱深。
- 推展 NAC 准入管理,識別內部裝置,檢查裝置安全性條件才能連線進入內網。
- 導入堡壘跳板機,將主機連線入口單一化,降低滲透的風險。
- 建立文件機敏等級制度,強化個人資料存取管控機制。
- 使用加密軟體保護機敏資料,降低外洩風險。
- 定期執行系統備份,降低資料損毀的成本。
- 導入進階持續性威脅 APT 保護方案,加強 APT 攻擊防護監控,以避免惡意程式與駭客攻擊,保護英業達資訊安全。
- 監控全球各廠區病毒偵測的情形,並進行必要的防護措施與病毒處理,追蹤各區電腦與病毒接觸的原因,並確認病毒已根除。
- 要求網域內電腦安裝防毒軟體,每周安排防毒掃描。
- 遠端連線使用雙因子,並限制網域內電腦連線。
- 啟動郵件保護機制,過濾惡意附檔與釣魚連結,避免受到駭客社交工程攻擊。
- 要求同仁使用合法軟體,避免對公司造成危害。
- 定期執行資料備份、還原演練,以驗證備援機制有效性。
- 為確保營運不中斷,進行系統異常運作、 網路攻擊、病毒感染、機房火災等異常資安事件進行演練,降低意外事故所造成的損失。
- 每年均接受客戶、內部自檢和外部第三方的資訊安全稽核。
- 參照 ISO 27001 等資安架構及控制項進行檢核,共 14 項控制類別。
資安意識培訓與宣導
透過內部網站的資安專區,公告宣導資安政策,適時發布E-mail資安公告,提醒同仁注意資安風險。每年簽署的「員工行為準則」中均包含資安遵守事項,並且定期針對不同對象規劃不同的教育訓練及宣達內容,以期提升自身及供應商的資訓安全意識。另外,不定期舉辦社交工程演練,以提升同仁資安意識,安排未通過測試的同仁重新進行教育訓練與測驗,2023年總計執行15場社交工程演練,累計寄送38,216封信,通過測試的比率為97%。
通過第三方認證
英業達極力推動 ISO 27001 國際資安認證,期望透過外部第三方公正單位的稽核驗證,認證英業達對於資安的維運流程與規範,能達到國際的標準,滿足客戶對於英業達資安的期望,目前在士林總部、桃科廠、浦東廠、重慶廠、捷克廠及墨西哥廠皆取得 ISO 27001 國際資安管理標準證書,證書請詳認證與證書。
安全性檢測
每年接受客戶、內部自檢和外部第三方的資訊安全稽核,參照ISO 27001等資安架構及控制項進行威脅偵測與弱點探測,分數為90分。
資安事件應變流程
資安管理事件情形
項目 | 2021年 | 2022 年 | 2023 年 |
---|---|---|---|
侵犯顧客隱私權或遺失顧客資料(件數) | 0 | 0 | 0 |
發生重大資通安全事件並遭受損失(金額) | 0 | 0 | 0 |