本公司依据「国际标准ISO 27001」相关规范,并衡酌本公司之业务需求建立资讯安全政策,以强化资讯安全管理,建构资讯资产之安全管理及风险管理,并确保本公司资讯资产之机密性、完整性、可用性符合相关法规之要求,使其免于遭受内、外部的蓄意或意外之威胁。
资讯安全政策每年配合政府法令、环境、业务与技术之变动评估检讨,其修正应经资讯安全管理委员会核定后公告实施。
资讯安全治理架构
家登精密以资讯安全治理架构做为指导及控制组织资讯安全活动之系统,目的在确保资讯安全目标及策略承接组织营运的目标及策略,使资讯安全与业务目标一致,由上而下的持续回馈资讯安全治理架构以降低资安风险。
管理层:
管理阶层应关注组织所面联的威胁,并针对存在的风险决定因应措施及优先顺序
业务层:
应鉴别关键业务与系统,确保业务所存在的风险潜在得已被完善的管控
:
依管理阶层的意向及业务关键性,确保重要的资讯资产得以受到全面的保护
资讯安全政策
家登精密身为全球半导体产业重要供应商,基于保护公司研发成果、营业秘密、法令规定与合约要求,确保公司资讯资产的机密性(Confidentiality)、完整性(Integrity)及可用性(Availability)受到保护,以维护公司市场竞争力及保障客户与合作伙伴之利益,达成公司资讯安全管理目标。
资讯安全管理目标
资讯安全工作小组应每年检视与评估本公司之资讯安全管理目标,于年度策略会议对BSC小组提出修订建议列入年度策略地图,遵循「MP0006 策略与目标规划管理程序」之规定,规划与拟定资讯安全管理年度目标。
年度资安目标:
策略主轴:精实生产、智慧制造
- 目标1:顾客眼中速度及安全兼顾的厂商
- 目标2:具可追踪性的完整IT系统
资讯安全政策与目标检视与评估重点
- 业务(资讯)服务机密性、完整性、可用性及合规。
- 资讯安全管理事故之处理。
- 资讯基础设施、资讯系统与资料备份管理。
- 帐号通行码设定管理。
- 经媒体揭露之资通安全事故之管理。
- 营运持续维运计画演练之管理。
- 非计画性之营运中断时间之管理。
资讯安全风险管理
- 于推动资讯安全管理制度相关规范时,须全面广泛地了解本公司全景及利害关系者之需要与期望,以顺利界定资讯安全方针。
- 依据本公司最高管理阶层对组织营运宗旨与目标之看法与共识,鉴别本公司使命、核心价值(价值观)、愿景及营运目标,针对核心业务流程及重要工作项目所鉴别出利害关系者的每一项需要与目标,进行分析「当未符合利害关系者的需要与目标」时,可能造成的冲击情境与等级,以决定是否采取适当之因应对策或接受风险,并透过ISO27001控制条款之风险处理对策,妥善分析处置每一项所鉴别之需要与目标,进行风险管理。
- 资讯安全委员会同时应考量若未满足利害关系者之需要与目标时,可能对本公司所造成之冲击,将各项需要与目标纳入资讯安全管理系统(Information Security Management System, 以下简称ISMS)实施或验证范围,依据本公司资讯安全风险管理相关程序办法,载明于本公司ISMS「适用性声明书」中。
资讯安全具体管理方案
- 防堵外部资安攻击:如威胁邮件统计、恶意网址防范。
- 提升员工资安警觉性:如内部钓鱼信件测试员工警觉性、内外部议题及现况访谈,针对高风险项目优先处理。
- 防范内部资安威胁:如存档文件自动加密、文件操作纪录管制、帐号密码异常登入分析、外来连线存取纪录、非认证设备无法连入内网、图形化主机运作监控、主机异常email主动警告。
- 制度面设计:如制定ISMS管理制度、资料定期备份、异地备援。