資訊安全政策
為強化資訊安全防護及管理機制,組織成立資訊安全專責單位,配置適當專業人力與資源,訂定資訊安全政策、管理程序與規範,並執行風險管控,以達到資訊安全管理的目標。積極推動資通訊安全管理制度與技術強化及機敏資訊保護,是堤維西對利害關係人的承諾,以保障客戶與合作夥伴利益及維護本公司的競爭力。
目的:
為強化資訊安全管理,建立安全及可信賴之全球車燈智能製造公司,確保資料、系統、設備及網路安全,以保障客戶與合作夥伴的權益,依據「公開發行公司內部控制制度處理準則」、「上市上櫃公司資通安全管控指引辦法」及「個人資料保護法」之相關法規規定,堤維西交通工業股份有限公司(以下稱本公司)特訂定本政策,以茲全體員工及利害關係人遵循。
目標:
推動各單位強化資訊安全管理,建立「資訊安全,人人有責」之觀念,降低資安事故發生之機率及管理事故造成之影響至可接受的程度,全面強化營運持續管理與資安韌性之能力以符合預期,並確保本公司業務之正常運作及保障客戶與合作夥伴之利益。
範圍:
1. 適用於本公司資訊資產之安全管理,涵蓋其機密性、完整性和可用性。
2. 涉及本公司資訊作業或資料使用之全體員工、供應商、外包商、顧問、臨時雇員、客戶、第三方人員,皆應遵循本政策。
原則內容:
1. 各項資訊安全管理規範及程序,必須遵守政府相關法規(如:刑法、國家機密保護法、專利法、商標法、著作權法、電腦處理個人資料保護法、上市上櫃公司資訊安全管控指引等)之規定。
2. 建立資訊安全組織並明訂其權責,以推動及維持資安管理、執行與查核等工作。
3. 訂定資安管理相關辦法及程序,以保護人員、資料、資訊系統、設備 及網路等之機密性、完整性及可用性。
4. 定期召開資安管理會議,檢視內外部風險、科技及業務需求等最新發展,以採取因應措施。
5. 定期辦理各項資訊安全檢測及稽核,以評估資訊環境之風險並進行改善。
6. 佈建資安防護系統及監控設備,持續提昇整體資訊環境之安全性,降低各項風險發生率。
7. 系統及資料之使用須經授權,且存取權限之授予應以業務所需之最小範圍為原則。
8. 資訊系統建置適當之備份及備援機制,並定期進行緊急應變演練,強化資訊服務在面對威脅時之韌性。
9. 建立資安事件的回應及通報程序,提昇內部人員面對突發狀況之應對與協調能力。
10. 定期舉辦員工資安教育訓練,持續提升同仁資安意識。
11. 全體同仁及利害關係人應負有維持資通訊安全之責任,且應遵守相關之資通訊安全管理規定。
資訊安全管理與執行重點:
為了預防及降低資安風險,落實及持續更新嚴謹的資安措施,例如建置先進的病毒掃描工具,以防止工廠設備被病毒感染;強化網路防火牆與網路控管,以防止電腦病毒跨機台及跨廠區擴散;在公司電腦上建置防毒措施及先進的惡意軟體偵測解決方案;改善資安部署時間,以強化資料中心安全。並建立與定期檢討資安績效指標;導入新技術加強資料保護;加強釣魚郵件偵測並定期執行員工警覺性測試;運用AI服務,建立一個整合的自動化資安維運平台並強化資安事件偵測與處理自動化;持續演練資安攻擊之處理程序;委託外部專家執行資安評鑑等。
每年持續進行的資安執行重點如下:
1. 網路安全控管
2. 資產管理及資料保護
3. 存取控制
4. 電腦維運安全管理
5. 人員及實體安全
6. 應用程式安全
7. 資安事件處理與管理
8. 供應鏈安全
9. 人員資安管理與教育宣導
10. 內/外部資安評測與風險管理
資安事件處理與通報:
建置企業風險管理機制與資安事件處理標準程序,明訂相關流程與措施,包含資安事件通報程序、指派負責人員處理重大資通安全事件、評估遭受損失及進一步的必要因應措施、評估資安風險可能對公司財務與營運的影響及其因應及補救措施。
設置資訊安全組織:
2023年1月組織正式成立資安專責單位,命名為「資安系統中心」,專責人員配置1名部門主管及4名工程師:
任務職掌 | |
管理制度與資安合規遵循 | 建立符合稽核和資安合規要求之資訊安全政策、管理程序、規劃與發展藍圖。 |
監控與確認資訊安全控管之有效性,確保資訊安全制度永續運作。 | |
持續追蹤海內外資安合規要求,並更新管理制度。 | |
專案管理與委外管理 | 配合業務單位之需求,建置資訊安全最佳實務。 |
配合電腦鑑識與法律遵循之活動。 | |
跨部門資訊安全事務之協調,以及溝通與宣導資訊安全管理要求。 | |
資安風險管理 | 負責與推動資訊資產風險評鑑,以發掘潛在資安風險及需求。 |
定義與管理風險管理程序。 | |
提供業務單位相關風險諮詢服務,與提供風險管理解決方案,同時符合資安風險管理政策與程序。 | |
資安解決方案評估 | 協助資訊安全產品之選擇。 |
提供資訊服務安全和相關解決方案之專業技術研究與諮詢服務。 | |
資安檢視與監督 | 檢視、覆核資訊安全執行成效。 |
配合企業策略與法規要求,評估相應之資訊風險與可能之控管。 | |
資安監控 | 基礎架構和應用系統之稽核軌跡留存之定義、調整與規劃管理。 |
監控及分析日誌,調查與處置疑似異常之行為。 | |
威脅與弱點管理 | 蒐集與管理外部網絡攻擊威脅與內部弱點之情報。 |
建立IT基礎架構和應用程序的弱點管理服務程序。 | |
資安事件應變管理 | 資訊安全事件監控與反饋,包含蒐集資訊安全事件相關資訊並反饋於監視作業中、彙整疑似資訊安全風險項目、主動通報資訊安全事件。 |
攻防演練規劃、執行結果追蹤與改善檢討。 | |
數位鑑識 | 蒐集異常活動之紀錄,支援鑑識需要。 |
鑑識資料之蒐集分析及保存。 | |
產製定期報告。 | |
資安稽核(可採任務編組) | 檢查資訊安全管理系統及所有控制措施之管理。 |
規劃執行資安稽核計劃(包含內部外部第三方),提出稽核報告,追蹤改善情形。 | |
資安教育推廣 | 指導各單位資訊安全活動,以確認符合資訊安全政策與程序。 |
辦理資訊安全認知與教育訓練計劃。 | |
執行資訊安全管理系統及所有控制措施。 |