本公司依據「國際標準ISO 27001」相關規範,並衡酌本公司之業務需求建立資訊安全政策,以強化資訊安全管理,建構資訊資產之安全管理及風險管理,並確保本公司資訊資產之機密性、完整性、可用性符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅。
資訊安全政策每年配合政府法令、環境、業務與技術之變動評估檢討,其修正應經資訊安全管理委員會核定後公告實施。
資訊安全治理架構
家登精密以資訊安全治理架構做為指導及控制組織資訊安全活動之系統,目的在確保資訊安全目標及策略承接組織營運的目標及策略,使資訊安全與業務目標一致,由上而下的持續回饋資訊安全治理架構以降低資安風險。
管理層:
管理階層應關注組織所面臨的威脅,並針對存在的風險決定因應措施及優先順序
業務層:
應鑑別關鍵業務與系統,確保業務所存在的風險潛在得已被完善的管控
維運層:
依管理階層的意向及業務關鍵性,確保重要的資訊資產得以受到全面的保護
資訊安全政策
家登精密身為全球半導體產業重要供應商,基於保護公司研發成果、營業秘密、法令規定與合約要求,確保公司資訊資產的機密性(Confidentiality)、完整性(Integrity)及可用性(Availability)受到保護,以維護公司市場競爭力及保障客戶與合作夥伴之利益,達成公司資訊安全管理目標。
資訊安全管理目標
資訊安全工作小組應每年檢視與評估本公司之資訊安全管理目標,於年度策略會議對BSC小組提出修訂建議列入年度策略地圖,遵循「MP0006 策略與目標規劃管理程序」之規定,規劃與擬定資訊安全管理年度目標。
年度資安目標:
策略主軸:精實生產、智慧製造
- 目標1:顧客眼中速度及安全兼顧的廠商
- 目標2:具可追蹤性的完整IT系統
資訊安全政策與目標檢視與評估重點
- 業務(資訊)服務機密性、完整性、可用性及合規性。
- 資訊安全管理事故之處理。
- 資訊基礎設施、資訊系統與資料備份管理。
- 帳號通行碼設定管理。
- 經媒體揭露之資通安全事故之管理。
- 營運持續維運計畫演練之管理。
- 非計畫性之營運中斷時間之管理。
資訊安全風險管理
- 於推動資訊安全管理制度相關規範時,須全面廣泛地了解本公司全景及利害關係者之需要與期望,以順利界定資訊安全方針。
- 依據本公司最高管理階層對組織營運宗旨與目標之看法與共識,鑑別本公司使命、核心價值(價值觀)、願景及營運目標,針對核心業務流程及重要工作項目所鑑別出利害關係者的每一項需要與目標,進行分析「當未符合利害關係者的需要與目標」時,可能造成的衝擊情境與等級,以決定是否採取適當之因應對策或接受風險,並透過ISO27001控制條款之風險處理對策,妥善分析處置每一項所鑑別之需要與目標,進行風險管理。
- 資訊安全委員會同時應考量若未滿足利害關係者之需要與目標時,可能對本公司所造成之衝擊,將各項需要與目標納入資訊安全管理系統(Information Security Management System, 以下簡稱ISMS)實施或驗證範圍,依據本公司資訊安全風險管理相關程序辦法,載明於本公司ISMS「適用性聲明書」中。
資訊安全具體管理方案
- 防堵外部資安攻擊:如威脅郵件統計、惡意網址防範。
- 提升員工資安警覺性:如內部釣魚信件測試員工警覺性、內外部議題及現況訪談,針對高風險項目優先處理。
- 防範內部資安威脅:如存檔文件自動加密、文件操作紀錄管制、帳號密碼異常登入分析、外來連線存取紀錄、非認證設備無法連入內網、圖形化主機運作監控、主機異常email主動警告。
- 制度面設計:如制定ISMS管理制度、資料定期備份、異地備援。
