資通安全管理

首頁»公司治理»風險管理»資通安全管理

資通安全風險管理架構及相關說明

  • • 資通安全風險管理架構
  • 資通安全風險管理架構
  • 本公司於111年第一季經董事會決議通過設置資安專職單位及資安長。資安專職單位為「資訊安全中心」,直接向總經理或其指定代理人報告,並負責召集PIS委員會(Proprietary Information Security Committee)會議。「資訊安全中心」下設「資安管理處」與「資安技術處」,管理集團資安事宜,統籌資安政策、國際資安標準相關驗證與稽核工作,資安機制落實執行與驗證資安執行成果,建構分層防禦(Layered Defense),提升資安水準與國際接軌,定期彙報相關風險、議題及管理成效。
  • 為展現公司資安良善管理,強化集團資安跨部門協同運作,將已有之PIS委員會,擴編為集團資通安全最高指導單位,透過每半年委員會議、資訊安全中心月會及各項定期與不定期專案會議,持續推動各項資通安全管理政策與措施,進行資通安全政策與資安防護措施通盤檢討與優化,並至少每年一次於董事會報告資通安全執行之情形,最近期提報時間為111年11月11日。
  • • 資通安全政策
  • 資通安全政策包含三個目標:「全員參與、控制風險」;「積極預防、持續改進」;「客戶信賴、永續經營」:
    • • 全員參與、控制風險:建立資訊安全管理系統,確定資訊安全的職能及職責,做到全員、全方位及全過程資訊安全管理。根據公司資訊安全的特點、法律法規要求,建立風險評估程序,確定風險接受準則。定期進行風險評估,並採取相應措施,降低潛在風險。
    • • 積極預防、持續改進:在企業運行中,重視資訊安全,識別和分析資訊系統薄弱點及可能的威脅,考慮成本、利益及風險的平衡,對資產進行分類及保護,以適當的成本保護資訊系統。
    • • 客戶信賴、永續經營:通過績效評估並持續改進,保證資訊安全管理系統的有效性,實現客戶信賴、公司永續經營的目標。
  • • 具體管理方案及投入資通安全管理之資源
  • 本公司重視對資訊安全的維護,自97年起即投保資安險,98年並制定「資訊安全管理政策」與「資訊安全風險管理架構」,109年起開始規劃取得ISO27001認證,110年積極推動落實,以因應資訊安全提升需求。主要運作情形如下:
    • • 推動ISO27001認證工作:依照標準制定管理政策,並依照政策進行風險管理與相關控制措施,持續推動改善,已於111年第二季取得認證,目前證書之有效期為西元2022年5月4日至西元2025年5月4日,並致力於擴大認證範圍,透過資通安全管理系統之導入,同時保護公司與客戶,持續強化資通安全事件之應變處理能力。
    • • 因應資安風險提升,依據風險管理結果,針對政策、組織、人力、資產、存取控制、密碼、實體安全、通訊與作業、系統、供應商、資安事故與營運持續管理與遵循性等面向,建置各項防護機制:
      • 落實公司端點裝置資安防護機制:公司裝置與伺服器落實安裝主動資安防護與防毒機制,由資安專責人員進行防護警示,主動告警與處置,提升資訊安全防護;並建置合規系統,主動警示資安風險並進行對應處置。
      • 落實公司網路資安防護機制:建置網路威脅偵測系統,防範異常行為;嚴密管控防火牆存取權限;對外服務系統,建置保護機制,阻擋惡意攻擊;以多重驗證提升存取安全性,並只允許公司授權裝置連結;偵測網路封包並分析威脅與告警,提升公司網路環境資安等級。
      • 落實公司資安管理原則:提升密碼安全等級;帳號管理規則依循國家標準GCB(Government Configuration Baseline);帳號區隔並賦予最小特權原則(PoLP, Principle of Least Privilege),設置資安防護斷點;建置重要文件檔案保護機制;建置伺服器網路存取紀錄平台,監控異常事件。
      • 落實公司資安管理標準處置程序:依照ISO27001標準,制訂資訊安全管理系統文件,制訂各項資安事件緊急應對程序與關鍵系統營運持續計畫,並落實演練與執行。
      • 落實資安稽核機制:建置系統資安檢測工具,依照規定進行檢測資安風險與修正資安弱點;由資安專業人員對公司進行各項資安檢測,並協助進行資安風險排除與緩解。
      • 落實資安風險管理:定期訪談各單位人員,了解流程與系統等相關資料,做必要之資訊安全差異分析,並配合規畫建置對應資訊安全系統進行管理。
      • 落實資安趨勢與情資管理:持續參與台灣CERT/CSIRT聯盟、台灣資安主管聯盟,即時掌握國內外資安趨勢、資安事件與威脅情資,有效提升企業整體資安發展策略、防禦及應變能力。
      • 落實教育訓練:資訊安全為全體員工每年之必修課程,並要求通過測驗;每年執行社交工程演練,以強化同仁資訊安全風險意識與認知。
    • • 在供應商資安管理方面,進行以下風險控制:
      • 登入安全控管:供應商存取相關系統時,應符合本公司相關資訊安全管控要求。
      • 加強供應商資安稽核:以現場稽核或資安問卷稽核等方式為之。要求依照資安機制實施狀況進行回覆,提供相關佐證,針對未符合項目要求限期改善。
  • 本公司自民國97年起,即透過國際知名保險公司投保資安險,本年度基於資安議題的發酵及呼應相關利害關係人的期待,就該險種將保險金額顯著提高,並加保社交工程(Social Engineering)、系統錯誤導致的營業中斷(Network Interruption-System Failure)兩類附加險,以落實風險轉嫁、分散或有風險。再者,考量資安風險不易落實國境管控的特質,將資安險的承保對象進一步擴大至本公司全球主要營運據點,相關保險金額及投保對象則參酌本公司財務狀況及實際需求規劃。
  • 資訊安全為企業永續發展以及維持核心競爭力之重要基石,廣達致力於強化企業整體資訊安全管理為目標,建立分層防禦架構,提升整體防護強度,針對風險進行全方位監控。本公司將持續參考國內外趨勢、國際標準及外部專業顧問建議,逐年編列適當資安預算,優化各項防護控制措施,加強全員教育訓練,提升安全意識與應變能力,保障公司營運與資訊安全。