資通安全風險管理
首頁»公司治理»風險管理»資通安全風險管理
資通安全風險管理架構及相關說明
資通安全風險管理架構
- 本公司於111年第一季經董事會決議通過設置資安專職單位及資安長。資安專職單位為「資訊安全中心」,直接向總經理或其指定代理人報告,並負責召集PIS委員會 ((Proprietary Information Security Committee))會議,推動重要資安政策與計畫,持續精進與強化各項防護措施。「資訊安全中心」下設「資安管理處」與「資安技術處」,定期彙報相關風險、議題及管理成效,並至少每年一次於董事會報告資通安全執行之情形,最近期提報時間為113年12月27日。
- 資通安全政策、具體管理方案及投入資通安全管理之資源
- 本公司重視對資訊安全的維護,於98年制定「資訊安全管理政策」與「資訊安全風險管理架構」,109年起開始規劃取得ISO27001認證,110年積極推動落實,且於111年第二季取得認證,113年第三季完成 ISO 27001 : 2022 轉版暨擴大驗證,範圍人數增加2.5倍,資訊系統全數納入,目前證書之有效期為西元2022年5月4日至西元2025年5月4日(相關證書請詳官網:https://www.quantatw.com/Quanta/chinese/corporategovernance/certificates.aspx),並致力於擴大認證範圍,透過資通安全管理系統之導入,同時保護公司與客戶,持續強化資通安全事件之應變處理能力,以因應資訊安全提升需求。
- 廣達自民國97年起,即透過國際知名保險公司投保資安險。基於資安議題的發酵及呼應相關利害關係人的期待,就該險種將保險金額顯著提高,並加保社交工程(Social Engineering)、系統錯誤導致的營業中斷(Network Interruption-System Failure)兩類附加險,以落實風險轉嫁、分散或有風險。再者,考量資安風險不易落實國境管控的特質,將資安險的承保對象進一步擴大至本公司全球主要營運據點,相關保險金額及投保對象則參酌本公司財務狀況及實際需求規劃。
- 本公司最近年度,並無因重大資通安全事件而遭受損失。主要運作情形摘要如下,詳細資訊請詳本公司官網及「永續報告書」中「永續治理 誠信經營--資訊安全」章節,官網連結:https://www.quantatw.com/Quanta/chinese/corporategovernance/riskmanagement.aspx
- https://www.quantatw.com/Quanta/chinese/esg/ESG2023/index.html
- 科技發展無遠弗屆,加深對網路等資訊工具的依賴,故資通安全備受注目,稍有漏洞便衝擊企業正常營運,本公司深知資安機制與時俱進的迫切性,才能及時回應日新月異的駭客攻擊,除了透過積極加入國內、外資安應變組織,以掌握最新威脅情資與各式資安事件調查技術之外,更持續建構資安縱深、優化防護措施,推動零信任架構,運用資安AI技術,提升資安防護強度、全方位資安監控,嚴密檢視風險與管控,逐年編列資安預算,強化資通訊技術安全防護。
- 針對資安事件之應處,本公司已導入資安事故應變程序,制定事故管理流程計畫,每年進行資安事故通報演練,並落實資安事件通報,且定期辦理「上市上櫃公司資通安全管控指引」自評,以及各營運據點之資安內、外部查核及客戶稽核,未有發現重大缺失;對於內、外部資安威脅,透過各項資安具體方案進行防護,均能妥善因應管控風險。