資通安全管理

首頁»公司治理»風險管理»資通安全管理

資通安全風險管理架構及相關說明

  • • 資通安全風險管理架構
  • 資通安全風險管理架構
  • 本公司於111年第一季經董事會決議通過設置資安專職單位及資安長。資安專職單位為「資訊安全中心」,整合先前已設置之「資訊安全風險管理計畫委員會」,下設資訊安全處與海外資訊安全處,管理集團資安事宜,統籌資安政策、國際資安標準相關驗證與稽核工作,資安機制落實執行與驗證資安執行成果,建構縱深防禦(Defense In Depth),提升資安水準與國際接軌,定期彙報相關風險、議題及管理成效。
  • • 資通安全政策
  • 資通安全政策包含三個目標:「全員參與、控制風險」;「積極預防、持續改進」;「客戶信賴、永續經營」:
    • • 全員參與、控制風險:建立資訊安全管理系統,確定資訊安全的職能及職責,做到全員、全方位及全過程資訊安全管理。根據公司資訊安全的特點、法律法規要求,建立風險評估程序,確定風險接受準則。定期進行風險評估,並採取相應措施,降低潛在風險。
    • • 積極預防、持續改進:在企業運行中,重視資訊安全,識別和分析資訊系統薄弱點及可能的威脅,考慮成本、利益及風險的平衡,對資產進行分類及保護,以適當的成本保護資訊系統。
    • • 客戶信賴、永續經營:通過績效評估並持續改進,保證資訊安全管理系統的有效性,實現客戶信賴、公司永續經營的目標。
  • • 具體管理方案及投入資通安全管理之資源
  • 本公司重視對資訊安全的維護,自97年起即投保資安險,98年並制定「資訊安全管理政策」與「資訊安全風險管理架構」,109年起開始規劃取得ISO27001認證,110年積極推動落實,以因應資訊安全提升需求。主要運作情形如下:
    • • 推動ISO27001認證工作:依照標準制定管理政策,並依照政策進行風險管理與相關控制措施,持續推動改善,已於111年第二季取得認證。
    • • 因應資安風險提升,依據風險管理結果,針對政策、組織、人力、資產、存取控制、密碼、實體安全、通訊與作業、系統、供應商、資安事故與營運持續管理與遵循性等面向,建置各項防護機制:
      • 落實公司端點裝置資安防護機制:公司裝置與伺服器落實安裝主動資安防護與防毒機制,由資安顧問公司與IT專職窗口進行防護警示,主動告警與處置,提升裝置之資訊安全防護;並建置合規系統,主動警示裝置資安風險並進行對應處置。
      • 落實公司網路資安防護機制:建置網路威脅偵測系統,防範異常行為;對外嚴密管控防火牆存取權限;對外服務系統,建置保護機制,阻擋資安攻擊;以多重驗證提升存取安全性,並只允許公司授權裝置連結;偵測網路封包並分析威脅與告警,提升公司網路環境資安等級。
      • 落實公司資安管理原則:密碼等級提升;帳號管理規則依循國家標準GCB(Government Configuration Baseline);區隔帳號並以最小特權原則(PoLP, Principle of Least Privilege)賦予,設置資安防護斷點;建置重要文件檔案保護機制;建置伺服器網路存取紀錄平台,以備資安事件追蹤。
      • 落實公司資安管理標準處置程序:依照ISO27001標準,制定各項資安事件處置標準步驟,並落實演練與執行。
      • 落實資安稽核機制:建置系統資安掃描工具,依照規定進行測試與修正資安風險;由外部資安顧問對公司進行各項資安掃描與測試,並協助進行資安風險清除。
      • 定期訪談各單位人員,了解流程與系統等相關資料,做必要之資訊安全落差分析,並配合規畫建置對應資訊安全系統進行管理。
      • 落實教育訓練:資訊安全為全體員工每年之必修課程,並要求通過測驗,並執行社交工程演練,以強化同仁資訊安全風險意識與認知。
      • 在供應商資安管理方面,進行以下風險控制:
        • 登入安全控管:供應商存取相關系統時,應符合本公司相關資訊安全管控要求。
        • 加強供應商資安稽核:以現場稽核或資安問卷稽核等方式為之。要求依照資安機制實施狀況進行回覆,提供相關佐證,針對未符合項目要求限期改善。
    • 本公司自民國97年起,即透過國際知名保險公司投保資安險,本年度基於資安議題的發酵及呼應相關利害關係人的期待,就該險種將保險金額顯著提高,並加保社交工程(Social Engineering)、系統錯誤導致的營業中斷(Network Interruption-System Failure)兩類附加險,以落實風險轉嫁、分散或有風險。再者,考量資安風險不易落實國境管控的特質,將資安險的承保對象進一步擴大至本公司全球主要營運據點,相關保險金額及投保對象則參酌本公司財務狀況及實際需求規劃。
  • • 最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施
  • 本公司於民國110年4月間,部分資訊系統遭受駭客網路攻擊,影響部分系統、資料與檔案,事發當下,資訊部門已掌握並作必要之處理,全面啟動相關防禦機制與復原作業,同時與外部資安公司的技術專家協同處理,對於網域與相關系統做全面徹底的掃描檢測,以高標準確保資訊安全後,隨即啟動復原運作。此次攻擊事件並未波及生產相關系統,整體而言,對公司營運並無重大影響。
  • 廣達自該事件中汲取經驗,建立資安縱深加強防護措施,提升資安防護強度、全方位資安監控,嚴密檢視風險與管控,落實各項資安改善措施,結合外部專業資安公司提供資安協助,並逐年編列適當資安預算,加強全員教育訓練,持續強化資訊技術安全。