資安政策、組織與目標
為確保公司營運與業務永續發展制定資通安全管理政策及程序,確保公司重要資訊資產之機密性、完整性與可用性,符合相關法規與規範之要求,持續監督及審查管理績效,以落實資通安全管理及業務持續營運之理念,免於遭受洩密、破壞或遺失等風險,進而保障公司與員工之權益。
並成立「東台資安管理委員會」,審議整體資安策略與資安評量指標,督導公司資安管理運作,期提升資安量能降低資安威脅與風險。定期溝通檢討公司資安管理方案與事件應變,並於每年向[董事會報告資安推動]狀況,更多資訊請查看資訊安全政策。
東台資安委員會組織圖
資訊安全風險與管控
公司依照內控電腦資訊系統循環,制定相關風險管控措施與做法,確保系統持續運作。
(一)安全性:資安威脅管控
風險/管控 | 防禦機制 |
駭客入侵 |
防火牆(Firewall)原則管制、入侵防禦管制(IPS)、端點防護(EPP、EDR),網頁安全評級、網路流量監控、系統弱掃VA、封包檢測PI、資安事件分析與修補。(2023年0重大資安事件) |
電郵釣魚詐騙攻擊 | 垃圾郵件過濾(Anti-SPAM)、郵件保存審核(eMail Archive/Audit)、社交工程演練(Social Engineering)、SPF寄件者政策框架驗證、DKIM網域驗證郵件、DMARC拒絕策略。 |
系統漏洞攻擊 | 定期系統更新(Update Weaknesses and vulnerabilities)、合規端點存取管控(NAC/NAP) |
資料安全 | 身分驗證MFA推動、帳號權限清查、合規軟體使用(嚴禁未授權軟體)、資訊資產管控、備份還原演練檢核 |
設備安全 | 資訊機房門禁進出管制監控紀錄、電源/空調/消防監控、設備網路可用性監控、USB/BYOD管控 |
(二)機密性:存取權限管控
風險\管控 | 防禦機制 |
機敏洩漏 | 帳號密碼管控、檔案存取管控、帳號權限清查、網路內外應用區隔管控 |
離退竊取 | 離退異動人員帳號權限管控(帳號權限移除)、外存裝置/BYOD管控、遠端存取管控 |
設備故障 | 設備報廢處理程序管控 |
(三)可用性:應變與復原機制
風險\管控 | 防禦機制 |
資訊系統異常 | Infrastructure HA建置、重要系統可用率監控(2023年度內部監控統計可用性99.5%)、持續運作計畫與應變演練 |
系統資料遺失 | 電腦硬碟加密保護、災難應變演練、資料異地備份(依3-2-1法則)還原 |
(四)宣導及檢核
風險\管控 | 防禦機制 |
端點入侵宣導演練 | 資安教育訓練(2023年度授課人次參與率91%,資安測試平均95.9分)、社交工程演練(2023年度社交工程演練,計2800餘次驗證,風險Critical<1%)、資通安全宣導公告 |
資訊落實度檢核 | 稽核驗證(內稽、AEO、會計師、供應鏈Rating、資通安全健檢)、資安管理會議督促資安政策推動落實(年度召開) |
資安小組會議 | 依資安委員組織,人力配置資安執行組(4位)、災難應變組(4位),每週針對SP-ISAC情資與TWCERTCC情資等分析公司現象可能存在漏洞進行修補改善,並適當公告提醒公司同仁認知。 |
社交工程演練(警覺性訓練)
資通安全管理指標量測
資訊安全管理方案與資源
公司座落南部科學園區(高雄路竹園區),得力於科學園區整體資訊資源推廣,主動加入成為[科學園區資安資訊分享與分析中心SP-ISAC]會員,經由SP-ISAC透過網站系統每日取得最新資安威脅事件與更新訊息並提供資安教育訓練服務,讓園區廠商得到最佳資安防禦管道與應變能力,更讓東台可以快速取得攻擊資訊後,直接加入閘道防禦資料庫中進行有效阻隔;並於2021年成功申請加入[台灣電腦網路危機處理暨協調中心TWCERT/CC]會員,從其取得企業資安事件諮詢及協調處理服務。
推動方案:
資安方案\資源 | 資安技術 | 資源 |
零信任-身分驗證管控 | 今年度推動零信任-身份驗證管控(多因子驗證MFA)機制,強化外部連線身份驗證。 |
1.建置連線多因子驗證 2.外部連線控管 3.資安預算編列 |
智機環境安全、掃描無毒出貨 | 持續推動[智能機台無毒出車]檢驗措施,以確保公司智機資安品質與商譽。 |
1.智機獨立網路運作 2.存取環境安全確保 3.專責人員(出車部)逐台更新/掃毒/複核 |
資安安全實施與防護
東台精機為確保營運及重要業務永續運作,避免重要資訊系統因重大災難事件而導致服務無法持續之風險,定期每年進行災難復原演練,演練計畫內容包括:
1. 災難復原演練計畫: 重要目標、範圍、時間、人員
2. 災難復原演練規劃: 演練實施步驟與流程、所需資源
3. 災難復原演練衝擊分析: 演練之風險管理
4. 災難復原演練報告: 演練後之檢討與改善報告
依據演練的過程與紀錄,確保公司在災難時發揮應變復原能力,確保資訊安全事件發生時,有適當之管理程序供同仁遵循,降低資安風險。
為確保資訊系統使用安全與資安防禦能力,公司每年定期委外進行資訊安全健診作業,如弱點掃描和滲透測試,以確定資訊系統及網路環境符合安全標準,並針對外界重大資安攻擊事件適時召開資訊技術互相交流和應變會議,讓集團成員資訊系統安全,足以抵禦攻擊,建構資訊安全的完整防護網。