一、資訊安全治理制度、目標與策略

創意電子以打造嚴密有效的資安防禦網為資訊安全願景,以資安治理一致性為基礎,逐步提升全方位防護能力,期望成為於資安治理成熟度表現傑出之企業。資訊安全部統籌資訊安全制度及合規遵循,並推動相關作業的落實,持續提升資安意識與專業能力。透過技術的運用,識別資安風險與弱點,並進行有效的強化,建構完善的治理制度與全方位的資安防護能力,同時培養同仁良好的資訊安全意識。

 

二、資訊安全政策落實

1. 建立符合法規與客戶需求之資訊安全管理規範
2. 透過全員認知,達成資安防護,全面落實的共識
3. 保護公司與客戶資訊的機密性、完整性、可用性與法律遵循性
 

三、資訊安全組織

1. 資訊安全委員會

「資訊安全委員會」負責執行資訊作業安全管理規劃,建置與維護資訊安全管理體系,由資訊安全主管督導全公司資訊安全作業執行以及資安風險管理機制之有效性,並定期向董事會呈報整體資訊安全管理組織相關資安管理作業及制度之執行成效,為資訊安全最高負責主管。每年召開「資安代表會議」,審查資訊安全發展計畫、執行成果及宣達相關資訊安全政策與執行要點。

2. 機密資訊保護(Proprietary Information Protection, PIP)委員會

PIP委員會:由各部門主管指派代表組成,負責全公司的機密資訊管制作業之研議、建置、稽核與推動等事項
保護機密資訊是創意電子對顧客、股東及公司同仁的承諾。創意電子了解機密資訊保護攸關公司現在與未來的競爭優勢,制定《機密資訊保護(Proprietary Information Protection, PIP)》政策明定公司機密資訊保護的管理程序及規範,妥善控管公司的營業秘密及相關創意電子未經公開揭露的機密資訊,以確保公司、股東、員工、客戶及供應商的最佳利益。創意電子的機密資訊保護,是依據規劃、執行、查核與行動(Plan-Do-Check-Act, PDCA)的管理循環,持續不斷強化機密資訊保護的能力,並提升人員對機密資訊保護的正確觀念及警覺性,降低機密資訊外洩的風險。

2.1 每季定期進行查核活動,以確保公司的機密資訊保護措施的落實。
2.2 透過日常工作與各種場合,宣導機密資訊的觀念與遵守事宜。 
2.3 落實員工的教育訓練,提高員工資安意識與能力。除了將機密資訊管制相關內容,列為新進人員的必訓課程外,每年所有員工均必須進行複訓,以期能不斷強化與提升員工資安意識。
 

四、資安風險管理架構因應對策

1. 強化資安防禦能力及成熟度評鑑:

定期進行資安系統測試並加以補強,持續進行營運持續應變演練。建立網路安全事件應變計畫,採取對應的通報及復原行動。同時透過第三方驗證之客觀結果與威脅情資,進行風險分析,資安管理體制進階強化。

 

 

外部弱點掃描的頻率從每月一次增加到目前每周一次,一旦發現高風險漏洞都能在一周內完成修補,執行成效如下表。

弱點掃描統計發現件數
  W141 W144 W149 W150
總部 2 - 1 1
分部辦公室 - 1 1 1

 

2. 精進資安管理程序 :

創意電子已符合資訊安全相關的 ISO 27001 國際認證標準,透過年度的複審作業不斷地進行持續改善。

 

3. 風險管理

透過每年的風險評鑑作業,從各項可能的威脅與弱點組合中,分析出主要的項目包括:
3.1 詐騙集團利用偽冒的電子郵件,誘騙企業員工匯款或交易。
3.2 商業間諜或競爭對手運用駭客技術,持續滲透內部主機,竊取企業內部資料。
3.3 犯罪集團結合駭客,透過電子郵件、簡訊、社群軟體、通訊軟體,散佈具有惡意連結的內容,使受害電腦資料被加密綁架,要求付出高額贖金。
3.4 駭客透過網路發動大規模數量的連線要求,阻斷公司正常網路的運作。
3.5 內部員工使用非法軟體或將公司機敏資料複製到隨身儲存裝置,因遺失、遭竊或販賣,致使資料外洩。
3.6 天災人禍造成資訊軟硬體或受到損害,導致服務中斷或資料遺失。
3.7 目前雖暫未投保資安險;在無投保資安險的情況下,針對以上的風險項目,運用資安管理準則、導入科技解決方案與強化資安教育訓練,多管齊下做好資訊安全的管理機制,包括以下重點措施:

3.7.1 定期執行內外部稽核,通過並維持ISO 27001:2013認證,精進資安管理體系運作。
3.7.2 持續進行社交工程攻擊模擬演練,並提供資安教育訓練,提升員工對於郵件防護意識。
3.7.3 用戶端安裝防毒與EDR(Endpoint Detection and Response)端點防護系統,提供實時異常檢測和警報,取證分析和端點修復功能。同時封鎖USB儲存裝置的連接與自行安裝軟體的權限。另提供備份檔案服務器備份重要資料。
3.7.4 針對網路層,結合防火牆,針對網路的流量與應用進行管制。發展內網防護與資料庫存取安全監控管理機制。
3.7.5 透過機敏文件管控系統DRM(Digital Right Management;數位版權管理)與磁碟加密技術,保護文件機密性。
3.7.6 運用郵件過濾及郵件稽核系統及Anti-APT,降低電子郵件使用的風險。
3.7.7 導入指紋辨識系統與刷卡系統於閘門管理,達到雙因子認證實體安全需求。
3.7.8 主機集中管理,建立機房環控與告警機制,定期執行資料備份,並每年執行災難備援演練。

 4. 教育訓練

資訊安全部每季亦針對全體同仁進行資安宣導教育訓練,其宣導主題依據時下內外部威脅狀況進行規劃,2021年度各季度之主題如下:

2021 年度每月資訊安全教育訓練宣導
季度 主題
第一季度 辨別惡意網站
第二季度 惡意程式的防範、居家辦公的資安防範
第三季度 社交工程攻擊手法與防範&社交工程釣魚測試
第四季度 電子郵件機密資訊保護規定

 

五、資訊安全所投入之資源

持續投入資源於資訊安全相關領域,2021 年較 2020 年投入費用成長 190%,資源投入事項包含完善治理面及技術面之基礎架構、強化資安防禦設備、情資監控分析、事件應變演練與教育訓練等,全面提升資訊安全能力。

 

六、資訊安全事件

對資訊安全事件的通報與處理,明確訂立資安通報及處理流程,資安事件由資訊單位通報窗口進行收錄並訂定事件等級,如為重大資安事件將通報風險管理小組,資訊單位需於目標處理時間內排除及解決資訊安全事件,並在事件處理完畢後進行根因分析與採取矯正措施,以預防事件重複發生。

2021 年度迄今本公司無因重大資通安全事件所遭受之損失。