一、資訊安全治理制度、目標與策略
創意電子以打造嚴密有效的資安防禦網為資訊安全願景,以資安治理一致性為基礎,逐步提升全方位防護能力,期望成為於資安治理成熟度表現傑出之企業。資訊安全部統籌資訊安全制度及合規遵循,並推動相關作業的落實,持續提升資安意識與專業能力。透過技術的運用,識別資安風險與弱點,並進行有效的強化,建構完善的治理制度與全方位的資安防護能力,同時培養同仁良好的資訊安全意識。
二、資訊安全政策落實
1. 建立符合法規與客戶需求之資訊安全管理規範
2. 透過全員認知,達成資安防護,全面落實的共識
3. 保護公司與客戶資訊的機密性、完整性、可用性與法律遵循性
三、資訊安全組織
1. 資訊安全委員會
「資訊安全委員會」負責執行資訊作業安全管理規劃,建置與維護資訊安全管理體系,由資訊安全主管督導全公司資訊安全作業執行以及資安風險管理機制之有效性,向財務長&治理主管報告,每季必須向高階主管管理會議與每年向董事會呈報整體資訊安全管理組織相關資安管理作業及制度之執行成效,為資訊安全最高負責主管。每年至少召開一次「資安代表會議」,與會者包括相關資訊系統負責人與外部資安顧問,與會人數超過13位,負責審查資訊安全發展計畫、執行成果及宣達相關資訊安全政策與執行要點。
2. 機密資訊保護(Proprietary Information Protection, PIP)委員會
PIP委員會:由各部門主管指派代表組成,包含主席共計20位同仁,由副總級主管每季召開會議,負責全公司的機密資訊管制作業之研議、建置、稽核與推動等事項
保護機密資訊是創意電子對顧客、股東及公司同仁的承諾。創意電子了解機密資訊保護攸關公司現在與未來的競爭優勢,制定《機密資訊保護(Proprietary Information Protection, PIP)》政策明定公司機密資訊保護的管理程序及規範,妥善控管公司的營業秘密及相關創意電子未經公開揭露的機密資訊,以確保公司、股東、員工、客戶及供應商的最佳利益。創意電子的機密資訊保護,是依據規劃、執行、查核與行動(Plan-Do-Check-Act, PDCA)的管理循環,持續不斷強化機密資訊保護的能力,並提升人員對機密資訊保護的正確觀念及警覺性,降低機密資訊外洩的風險。並制定管理辦法,將資訊安全與誠信經營納入員工的績效考核,讓員工意識到機密資訊保護的重要性。
2.1 每季定期進行查核活動,以確保公司的機密資訊保護措施的落實。
2.2 透過日常工作與各種場合,宣導機密資訊的觀念與遵守事宜。
2.3 落實員工的教育訓練,提高員工資安意識與能力。除了將機密資訊管制相關內容,列為新進人員的必訓課程外,每年所有員工均必須進行二次資安教育複訓,以期能不斷強化與提升員工資安意識。
PIP訓練 |
2021 |
2022 |
2023 |
該年度員工總數 |
757 |
759 |
819 |
完成訓練比例 |
100% |
100% |
100% |
2.4 針對PIP違規事件,訂定管理辦法,建立相關舉報制度、調查與懲處權責。並已經依據違規事由及影響程度進行相關懲處與必要校正措施,並持續宣導及教育訓練。歷年PIP違規事件如下表所列。Y2023員工因未遵守機密資訊保護程序的總違規事件佔員工比率為0.122%。
PIP違反狀況 |
2021 |
2022 |
2023 |
同仁違反事件數 |
6 |
1 |
1 |
外包廠商違反事件數 |
0 |
0 |
0 |
四、資安風險管理架構因應對策
1. 強化資安防禦能力及成熟度評鑑:
定期進行資安系統測試並加以補強,持續進行營運持續應變演練。建立網路安全事件應變計畫,採取對應的通報及復原行動。同時透過第三方驗證(Security Scorecard)之客觀結果與威脅情資,進行風險分析,資安管理體制進階強化。
2022年起,外部弱點掃描頻率從每週一次增加到目前每天一次,一旦發現高風險漏洞都能在第一時間完成修補,執行成效如下圖。
為了進一步強化防駭能力,2022年並雇用國內知名白帽駭客團隊進行紅隊演練模擬攻防,除了主動了解駭客思維強化員工防駭意識外,並以此經驗持續改善內網自動化聯防系統。
2. 精進資安管理程序 :
創意電子已符合資訊安全相關的 ISO 27001 國際驗證標準,透過年度的複審作業不斷地進行持續改善。並已通過 2023 年度的 ISO 27001 複審作業,同時因應國際標準組織(ISO)已於2022年10月25日正式公布ISO/IEC 27001:2022標準,創意亦準備ISMS轉版事宜,預計於2024.10完成新版驗證作業。
3. 風險管理
透過每年的風險評鑑作業,從各項可能的威脅與弱點組合中,分析出主要的項目包括:
3.1 詐騙集團利用偽冒的電子郵件,誘騙企業員工匯款或交易。
3.2 商業間諜或競爭對手運用駭客技術,持續滲透內部主機,竊取企業內部資料。
3.3 犯罪集團結合駭客,透過電子郵件、簡訊、社群軟體、通訊軟體,散佈具有惡意連結的內容,使受害電腦資料被加密綁架,要求付出高額贖金。
3.4 駭客透過網路發動大規模數量的連線要求,阻斷公司正常網路的運作。
3.5 內部員工使用非法軟體或將公司機敏資料複製到隨身儲存裝置,因遺失、遭竊或販賣,致使資料外洩。
3.6 天災人禍造成資訊軟硬體或受到損害,導致服務中斷或資料遺失。
3.7 每年進行資安風險之評估,並尋求適當的資安保險轉嫁風險。經評估後,整體資安風險的可能損失仍低,尚屬自保之範圍,每年評估結果亦報告董事會。
3.8目前雖暫未投保資安險;在無投保資安險的情況下,針對以上的風險項目,運用資安管理準則、導入科技解決方案與強化資安教育訓練,多管齊下做好資訊安全的管理機制,包括以下重點措施:
3.8.1定期執行內外部稽核,2021年Q4通過ISO 27001:2013驗證,並已通過2023年度的ISO 27001複審作業,持續精進資安管理體系運作。
3.8.2每年進行二次社交工程攻擊模擬演練,針對未通過或是連續二次未通過的同仁,必須再上強化資安教育訓練,提升員工對於郵件防護意識。
3.8.3用戶端安裝防毒與EDR(Endpoint Detection and Response)端點防護系統,提供實時異常檢測和警報,取證分析和端點修復功能。同時封鎖USB儲存裝置的連接與自行安裝軟體的權限。另提供備份檔案服務器備份重要資料。
3.8.4針對網路層,結合防火牆,針對網路的流量與應用進行管制。發展內網防護與資料庫存取安全監控管理機制。
3.8.5透過機敏文件管控系統DRM(Digital Right Management;數位版權管理)與磁碟加密技術,保護文件機密性。
3.8.6運用郵件過濾及郵件稽核系統及Anti-APT,降低電子郵件使用的風險。
3.8.7導入指紋辨識系統與刷卡系統於閘門管理,達到雙因子認證實體安全需求。
3.8.8主機集中管理,建立機房環控與告警機制,定期執行資料備份,並每年執行災難備援演練。
3.8.9 所有遠端存取,強制使用多重要素驗證(Multi-factor authentication)機制,降低密碼被盜與撞庫攻擊的風險,並進行全程錄影,有效記錄使用行為與建立稽核軌跡。
3.9 每年進行兩次重要的資訊系統的災難復原演練,以確保當系統異常發生時,在關鍵時刻能及時應變,降低系統downtime與減少對公司的營運影響。
3.10 在Y2022進行紅隊演練(Red Team Assessment),在不影響公司的營運下進行模擬入侵攻擊,用以驗證資安防守的偵測與反應能力,掌握潛在風險狀況。並針對發現的8個資安漏洞,立即進行相關改善與防護措施,均已經完成改善。
3.11每周召集各資訊系統負責人,針對當周的資安事件進行討論,並採取必要的防護措施。
社交工程 |
2021 |
2022 |
2023 |
該年度員工總數 |
757 |
759 |
819 |
完成社交工程比率 |
100% |
100% |
100% |
4. 教育訓練
資訊技術處每季亦針對全體同仁進行資安宣導教育訓練,其宣導主題依據時下內外部威脅狀況進行規劃,2023年度各季度之主題如下:
季度 |
主題 |
第一季度 |
您知道瀏覽器擴充元件可以竊取個資嗎 |
第二季度 |
變臉詐騙 |
第三季度 |
小心假冒的 ChatGPT Apps |
第四季度 |
QR Code 釣魚攻擊 / QR Code Phishing |
五、資訊安全所投入之資源
持續投入資源於資訊安全相關領域,資源投入事項包含完善治理面及技術面之基礎架構、強化資安防禦設備、情資監控分析、紅隊演練、資安事件應變演練與教育訓練等,全面提升資訊安全能力。
六、資訊安全事件
對資訊安全事件的通報與處理,明確訂立資安通報及處理流程,資安事件由資訊單位通報窗口進行收錄並訂定事件等級,如為重大資安事件將通報風險管理小組,資訊單位需於目標處理時間內排除及解決資訊安全事件,並在事件處理完畢後進行根因分析與採取矯正措施,以預防事件重複發生。
2023年度迄今本公司無因重大資通安全事件所遭受之損失。
資通事件 |
2021 |
2022 |
2023 |
重大資通安全事件 |
1 |
0 |
0 |
資料外洩件數 |
0 |
0 |
0 |
員工&客戶個資外洩件數 |
0 |
0 |
0 |
因資安事件被罰款金額 |
0 |
0 |
0 |