一、信息安全治理制度、目标与策略

创意电子以打造严密有效的资安防御网为资讯安全愿景,以资安治理一致性为基础,逐步提升全方位防护能力,期望成为于资安治理成熟度表现杰出之企业。资讯安全部统筹资讯安全制度及合规遵循,并推动相关作业的落实,持续提升资安意识与专业能力。透过技术的运用,识别资安风险与弱点,并进行有效的强化,建构完善的治理制度与全方位的资安防护能力,同时培养同仁良好的信息安全意识。

 

二、资讯安全政策落实

1. 建立符合法规与客户需求之资讯安全管理规范
2. 透过全员认知,达成资安防护,全面落实的共识
3. 保护公司与客户资讯的机密性、完整性、可用性与法律遵循性

 

三、资讯安全组织

1. 资讯安全委员会

「资讯安全委员会」负责执行资讯作业安全管理规划,建置与维护资讯安全管理体系,由资讯安全主管督导全公司资讯安全作业执行以及资安风险管理机制之有效性,并定期向董事会呈报整体资讯安全管理组织相关资安管理作业及制度之执行成效,为资讯安全最高负责主管。每年召开「资安代表会议」,审查资讯安全发展计画、执行成果及宣达相关资讯安全政策与执行要点。

2. 机密资讯保护(Proprietary Information Protection, PIP)委员会

PIP委员会:由各部门主管指派代表组成,负责全公司的机密资讯管制作业之研议、建置、稽核与推动等事项
保护机密资讯是创意电子对顾客、股东及公司同仁的承诺。创意电子了解机密资讯保护攸关公司现在与未来的竞争优势,制定《机密资讯保护(Proprietary Information Protection, PIP)》政策明定公司机密资讯保护的管理程序及规范,妥善控管公司的营业秘密及相关创意电子未经公开揭露的机密资讯,以确保公司、股东、员工、客户及供应商的最佳利益。创意电子的机密资讯保护,是依据规划、执行、查核与行动(Plan-Do-Check-Act, PDCA)的管理循环,持续不断强化机密资讯保护的能力,并提升人员对机密资讯保护的正确观念及警觉性,降低机密资讯外泄的风险。

2.1 每季定期进行查核活动,以确保公司的机密资讯保护措施的落实。
2.2 透过日常工作与各种场合,宣导机密资讯的观念与遵守事宜。 
2.3 落实员工的教育训练,提高员工资安意识与能力。除了将机密资讯管制相关内容,列为新进人员的必训课程外,每年所有员工均必须进行复训,以期能不断强化与提升员工资安意识。

 

四、资安风险管理架构因应对策

1. 强化资安防御能力及成熟度评鉴:

定期进行资安系统测试并加以补强,持续进行营运持续应变演练。建立网路安全事件应变计画,采取对应的通报及复原行动。同时透过第三方验证之客观结果与威胁情资,进行风险分析,资安管理体制进阶强化。

 

 

外部弱点扫描的频率从每月一次增加到目前每周一次,一旦发现高风险漏洞都能在一周内完成修补,执行成效如下表。

弱点扫描统计发现件数
  W141 W144 W149 W150
总部 2 - 1 1
分部办公室 - 1 1 1

 

2. 精进资安管理程序 :

创意电子已符合资讯安全相关的 ISO 27001 国际认证标准,透过年度的复审作业不断地进行持续改善。

 

3. 风险管理

透过每年的风险评鉴作业,从各项可能的威胁与弱点组合中,分析出主要的项目包括:
3.1 诈骗集团利用伪冒的电子邮件,诱骗企业员工汇款或交易。
3.2 商业间谍或竞争对手运用骇客技术,持续渗透内部主机,窃取企业内部资料。
3.3 犯罪集团结合骇客,透过电子邮件、简讯、社群软体、通讯软体,散布具有恶意连结的内容,使受害电脑资料被加密绑架,要求付出高额赎金。
3.4 骇客透过网路发动大规模数量的连线要求,阻断公司正常网路的运作。
3.5 内部员工使用非法软体或将公司机敏资料复制到随身储存装置,因遗失、遭窃或贩卖,致使资料外泄。
3.6 天灾人祸造成资讯软硬体或受到损害,导致服务中断或资料遗失。
3.7 目前虽暂未投保资安险;在无投保资安险的情况下,针对以上的风险项目,运用资安管理准则、导入科技解决方案与强化资安教育训练,多管齐下做好资讯安全的管理机制,包括以下重点措施:

3.7.1 定期执行内外部稽核,通过并维持ISO 27001:2013认证,精进资安管理体系运作。
3.7.2 持续进行社交工程攻击模拟演练,并提供资安教育训练,提升员工对于邮件防护意识。
3.7.3 用户端安装防毒与EDR(Endpoint Detection and Response)端点防护系统,提供实时异常检测和警报,取证分析和端点修复功能。同时封锁USB储存装置的连接与自行安装软体的权限。另提供备份档案服务器备份重要资料。
3.7.4 针对网路层,结合防火墙,针对网路的流量与应用进行管制。发展内网防护与资料库存取安全监控管理机制。
3.7.5 透过机敏文件管控系统DRM(Digital Right Management;数位版权管理)与磁碟加密技术,保护文件机密性。
3.7.6 运用邮件过滤及邮件稽核系统及Anti-APT,降低电子邮件使用的风险。
3.7.7 导入指纹辨识系统与刷卡系统于闸门管理,达到双因子认证实体安全需求。
3.7.8 主机集中管理,建立机房环控与告警机制,定期执行资料备份,并每年执行灾难备援演练。

 4. 教育训练

资讯安全部每季亦针对全体同仁进行资安宣导教育训练,其宣导主题依据时下内外部威胁状况进行规划,2021 年度各季度之主题如下:

2021 年度每月资讯安全教育训练宣导
季度 主题
第一季度 辨别恶意网站
第二季度 恶意程式的防范、居家办公的资安防范
第三季度 社交工程攻击手法与防范&社交工程钓鱼测试
第四季度 电子邮件机密资讯保护规定

 

五、资讯安全所投入之资源

持续投入资源于资讯安全相关领域,2021 年较 2020 年投入费用成长 190%,资源投入事项包含完善治理面及技术面之基础架构、强化资安防御设备、情资监控分析、事件应变演练与教育训练等,全面提升资讯安全能力。

 

六、资讯安全事件

对资讯安全事件的通报与处理,明确订立资安通报及处理流程,资安事件由资讯单位通报窗口进行收录并订定事件等级,如为重大资安事件将通报风险管理小组,资讯单位需于目标处理时间内排除及解决资讯安全事件,并在事件处理完毕后进行根因分析与采取矫正措施,以预防事件重复发生。

2021 年度迄今本公司无因重大资通安全事件所遭受之损失。