資安管理-英業達ESG永續專網

資訊安全管理架構

資訊安全組織架構

英業達由資訊安全長帶領總部與各廠區資訊安全管理部門主管，資安組織人員執掌說明如下。

資訊安全長：負責資安政策推動與資源調度，向總經理報告。
總部資安部門主管：負責集團資訊安全制度之規劃與管理，向資訊安全長報告。
總部資安部門同仁：負責集團資訊安全業務之執行、防護及監測。
各廠區資安主管：負責廠區資訊安全制度之規劃與管理，向資訊安全長報告。
各廠區資安部門同仁：負責廠區資訊安全業務之執行、防護及監測。

2023年資安目標及達成說明

目標	達成情形
為避免意外事件影響公司營運，進行業務持續演練(BCP)	已執行11次
強化資安事件因應能力，規劃資安通報演練	執行1次
公司重要主機進行弱點掃描每季一次	高風險嚴重弱點修補率為100%
病毒偵測數量達30個以上的電腦應開立處理單	未開單不符件數0次

資安管理措施

資訊安全管理與稽核機制

依據 ISO 27001 國際資安管理標準，建立英業達資訊安全政策，各廠區遵循資安政策，考量當地的法規與業務規範，設定各廠資安目標，以滿足客戶對英業達資安的期望。
再由資安目標展開各單位資安管理作為，每年檢視資訊安全政策與目標的適切性，確保企業之系統、網路維運，達到機密性、完整性與可用性。
依據英業達董事會核定之『年度內部稽核計劃』，定期進行英業達資訊安全專案稽核，監理資訊安全管理系統 (ISMS) 之風險評鑑規劃與資訊安全制度落實情形，並於董事會提報稽核結果。

強化同仁資安意識

同仁每年簽署「員工行為準則」中均包含資安防護事項，並適時發布資安公告，提醒同仁小心資安風險。
定期舉辦資安教育訓練，讓同仁知道英業達資安管理相關規定，培養同仁資安理念，並能遵守資安規定。
對一般同仁進行資安教育訓練宣導，提供同仁最新資安案例與熱門的資安資訊，提升同仁資安素養。

網路安全

採次世代防火牆，鞏固網路邊界，防範外部威脅。
建立雙層防禦架構，將產線、用戶端、機房伺服器網路有效區隔，提升資安防護縱深。
推展 NAC 准入管理，識別內部裝置，檢查裝置安全性條件才能連線進入內網。
導入堡壘跳板機，將主機連線入口單一化，降低滲透的風險。

資料安全

建立文件機敏等級制度，強化個人資料存取管控機制。
使用加密軟體保護機敏資料，降低外洩風險。
定期執行系統備份，降低資料損毀的成本。

資安監控

導入進階持續性威脅 APT 保護方案，加強 APT 攻擊防護監控，以避免惡意程式與駭客攻擊，保護英業達資訊安全。
監控全球各廠區病毒偵測的情形，並進行必要的防護措施與病毒處理，追蹤各區電腦與病毒接觸的原因，並確認病毒已根除。

端點安全

要求網域內電腦安裝防毒軟體，每周安排防毒掃描。
遠端連線使用雙因子，並限制網域內電腦連線。
啟動郵件保護機制，過濾惡意附檔與釣魚連結，避免受到駭客社交工程攻擊。
要求同仁使用合法軟體，避免對公司造成危害。

資安演練及測試

定期執行資料備份、還原演練，以驗證備援機制有效性。
為確保營運不中斷，進行系統異常運作、網路攻擊、病毒感染、機房火災等異常資安事件進行演練，降低意外事故所造成的損失。

指標衡量與評等

每年均接受客戶、內部自檢和外部第三方的資訊安全稽核。
參照 ISO 27001 等資安架構及控制項進行檢核，共 14 項控制類別。

資安意識培訓與宣導

透過內部網站的資安專區，公告宣導資安政策，適時發布E-mail資安公告，提醒同仁注意資安風險。每年簽署的「員工行為準則」中均包含資安遵守事項，並且定期針對不同對象規劃不同的教育訓練及宣達內容，以期提升自身及供應商的資訓安全意識。另外，不定期舉辦社交工程演練，以提升同仁資安意識，安排未通過測試的同仁重新進行教育訓練與測驗，2023年總計執行15場社交工程演練，累計寄送38,216封信，通過測試的比率為97%。

通過第三方認證

英業達極力推動 ISO 27001 國際資安認證，期望透過外部第三方公正單位的稽核驗證，認證英業達對於資安的維運流程與規範，能達到國際的標準，滿足客戶對於英業達資安的期望，目前在士林總部、桃科廠、浦東廠、重慶廠、捷克廠及墨西哥廠皆取得 ISO 27001 國際資安管理標準證書，證書請詳認證與證書。

安全性檢測

每年接受客戶、內部自檢和外部第三方的資訊安全稽核，參照ISO 27001等資安架構及控制項進行威脅偵測與弱點探測，分數為90分。

資安事件應變流程

資安管理事件情形

項目	2021年	2022 年	2023 年
侵犯顧客隱私權或遺失顧客資料(件數)	0	0	0
發生重大資通安全事件並遭受損失(金額)	0	0	0