投資人關係
資通安全
一、資通安全風險管理架構
本公司由各業務單位主管組成資安管理委員會,持續推動資訊安全管理系統(ISMS),建置符合ISO 27001:2022 國際標準。依據標準規畫、執行、查核與行動(Plan-Do- Check-Act, PDCA)的管理循環機制改善內部的資訊安全活動。
二、資通安全政策
為了有效落實資通安全,每周由CSIRT(Computer Security Incident Response Team)團隊召開會議,依據問題的重要性,採用規劃、執行、查核與行動(Plan-Do-Check-Act, PDCA)的方法,檢視資安情資重要資訊安全政策與計劃執行,並與集團公司資訊技術及相關單位組織協同合作,強化資訊安全防護及管理機制。
對於產品資訊安全,本公司始終將資訊安全放在最優先的位置,每周由PSIRT (Product Security Incident Response Team)召開會議,管理漏洞回報獎勵回饋的所有問題,特別是面對零時差攻擊(Zero Day Attact) ,我們承諾客戶收到回報8小時內進行初步判斷,並在24小時內解決漏洞,確保用戶資料安全性。
我們也持續參加Pwn2Own以及矩陣盃競賽,透過全球專業團隊檢視產品安全措施,根據專業資安人員的建議,改善產品安全性,提升用戶資料安全。
三、具體管理方案
(1) 網路安全:
強化網路防火牆與網路控管,防止病毒跨電腦及跨廠區擴散,在各辦公室網路據點部署ADRA NDR資安解決方案,過濾網路流量,有效主動偵測並阻止目標是勒索病毒,並偵測惡意軟體的橫向移動擴散,阻止惡意攻擊者活動將資料外洩或加密。
使用高安全性設備整合多因子驗證MFA (Multi-Factor Authentication)透過手機簡訊,電話通知或行動應用程式進行第二道即時性的身份驗證,提升員工居家辦公安全機制。
(2) 裝置安全:
本公司已經建立全面的網路與端點裝置相關資安防護,並隨時監控核心系統服務狀況,並在核心伺服器導入新一代端點防護與防毒方案,使用複雜的非特徵比對的人工智慧、機器學習與以攻擊行為進行分析(IOA)的威脅預防技術,即時阻止已知和未知的威脅,保護企業免於受到各種先進的(advanced)網路攻擊。
(3) 應用程式安全:
帳號管理導入多因子驗證MFA(Multi-Factor Authentication)透過手機簡訊,電話通知或行動應用程式進行第二道即時性的身份驗證,避免遭不當存取。定期審核帳號授權狀況,並進行異地備援切換演練。導入弱點偵測評估工具,透過自動化掃描分析,掌握漏洞範圍找出潛在資安威脅,主動修補降低應用系統風險。
(4) 人員教育訓練與宣導:
加強員工對郵件社交攻擊的警覺性,執行釣魚郵件防禦偵測及定期進行教育訓練與宣導,並舉辦社交工程演練,提升員工資安意識,使員工能夠識別和應對資訊安全風險。
