公司治理-資訊安全政策
一、目的
為強化牧德科技股份有限公司(以下簡稱「本公司」)資訊安全管理,確保所屬各項資產、資訊的機密性、完整性及可用性,以符合相關法令、法規之要求,使其免於遭受內、外部蓄意或意外之威脅,訂定本政策。
二、適用範圍
(一)本政策適用範圍為本公司全體同仁、委外服務廠商與訪客等。
(二)資訊安全管理範疇涵蓋以下領域,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司造成各種可能之風險及危害,管理事項如下:
1. 資訊安全政策訂定與評估。
2. 資訊安全組織建立及運作。
3. 資訊資產分類分級與管制。
4. 資訊安全風險管理。
5. 人員安全管理與教育訓練。
6. 實體與環境安全。
7. 通訊與作業安全管理。
8. 存取控制安全。
9. 相關法規與施行單位政策之符合性。
三、目標
為維護本公司資產之機密性、完整性與可用性,並保障使用者資料隱私之安全。藉由本公司全體同仁共同努力以達成下列目標:
(一)保護本公司研發、業務、生產、服務之資訊安全,確保資訊需經授權人員才可存取資訊,以確保其機密性。
(二)保護本公司研發、業務、生產、服務之資訊安全,避免未經授權的修改,以確保其正確性與完整性。
(三)確保本公司各項業務、服務等之執行,須符合相關法規之要求。
四、資訊安全組織
本公司成立資訊安全管理委員會,由資訊部最高主管擔任召集人,並由實際執行資安計畫之網路服務成員共同組成。團隊負責外部資訊風險評估與資源導入協助、資訊安全制度建置、資安督導稽核、持續強化資安方面觀念。
五、資安對策
六、持續改善架構
仍維持PDCA(Plan-Do-Check-Act)循環式管理,確保目標達成且持續改善。
並且以證券交易所協助上市公司強化資安防護及管理,所發布「上市上櫃公司資通安全管控引」做為公司改善循環基礎。
七、資訊安全的建置與執行狀況
牧德科技是以研發為主的資訊團隊,故特別重視與維護研發的關鍵競爭能力,除了和許多其他公司都建置的防毒防駭的軟硬體防護措施外。
截止至112年度陸續完成資訊安全建置基礎,說明如下:
(一)資料加密管理:全公司的文件檔案資料、圖檔、軟體程式皆進行資料加密管理,如有需要與客戶,供應商相關的報告資料,則需進行申請與解密作業程式。外部客戶與供應商才能讀取該報告,達到業務活動進行與供應商提供相關服務。
(二)強化使用環境資安:目前高度資安區域的研發部門,是限定個人作業資訊設備, 任何外部電腦與硬體設備攜入是限制連線牧德內部環境,且個人作業用電腦設備,也會因為不當作業使用遭到封鎖使用。而全公司USB管制使用方面,因銷售與客戶服務避免不了需要資料分析協助,資訊部則在各樓層提供公用掃毒電腦,將資料進行先掃毒後上傳作業。
(三)內部防毒軟體與對外防火牆防毒防駭的建置:近期各大廠遭受惡意軟體與電腦病毒攻擊狀況複雜,資訊安全的防護意識持續加強,透過一線資安廠商的訓練與即時協助,減少牧德科技對客戶與股東的承諾的風險、以及降低營運成果、財務、前景受到重大不利影響。
(四)備機備援機制:重要主機系統升級高可靠度搭配虛擬伺服器架構、備份伺服器升級改善執行。研發與高階主管電腦設定整機備份執行。以降低惡意軟體與電腦病毒攻擊造成的資料損失風險。
(五)郵件過濾服務導入:導入雲端郵件過濾服務,減少相關郵件攻擊風險。
(六)主機狀態管理架構建置:建置Xymon管理與監控主機服務與資源狀態。
八、資訊安全風險管理架構
本公司針對資安風險成立風險管理的委員會,由資訊部最高主管擔任召集人,並由實際執行資安計畫之網路服務成員共同組成。也設定專責資訊安全主管1位,專責人員1位,與資訊部同仁合作共同負責資訊安全制度建置、技術導入、資安督導稽核。
委員會針對資安與網路風險評估流程進行,以風險影響的等級與發生機率進行風險分析,並針對高風險環境與系統進行對應的管理機制,建立高可靠度架構、資料備份架構、異地備援架構進行建置。以降低資安事件影響。
委員會制訂與定期檢討資安政策,並每月資安月報內容與異常項目檢討會議,包括資安事件通報與應變機制;另定期向董事會報告資訊安全檢查情形。
委員會近期評估報告為112年12月27日,年度資訊安全報告:
(一) 112年度資安月報總結:針對資安管理項目與管理異常事件項目進行說明,112年度重大異常件數為0。
(二) 重點資安管理補充:端點病毒攻擊與阻擋紀錄、網路與主機異常紀錄、外部攻擊偵測阻攔紀錄。也針對相關網路設備升級規劃報告。
(三) 資安與網路管理強化重點:其中參考永續報告規劃113年資訊安全強化重點,其中規劃上半年度完成委託第三方專業單位進行資安稽核及健診與社交工程郵件演練。也持續內部所有同仁資安宣導及教育訓練。
會議中要求強化垃圾郵件/釣魚網站/郵件攻擊過濾防護、並強化主動式管理關資訊安全訊息與高風險高嚴重攻擊管理。
