1.資通安全管理組織架構:
本公司設立「資通安全組織」,編制含資通安全專責主管及資通安全專責人員,由「總管理處」督導,「資訊部」規劃及管理,「資工課」執行及查核,統籌資通安全及資料保護政策的制定、管理、執行、與查核。
為落實資通安全組織訂定的資安政策,確保內部遵循資安相關準則、程序與法規,責由「環安衛委員會」進行宣導、推動及教育訓練,並於每季召開會議,檢視各部門資通安全與資料保護執行情形,落實資通安全管理的有效性。
2.資通安全政策
(1)透過各事業處「環安衛委員會」組織,持續落實公司同仁資通安全教育及情資等級分享機制 ,以提升資通安全意識並降低資通安全事件發生率。
(2)檢視資通安全政策適用性並遵守各項資通安全管理措施,確保所使用電腦硬體、軟體、週邊及網路系統之安全性及資訊作業之正確性與有效性。
(3)公司機敏資料及資通系統之機密性與完整性,避免未經授權之存取、竄改與破壞。
(4)各事業處「環安衛委員會」組織,每季召開會議,確保資安措施持續有效,並依據資安指標,檢討各項資安措施、 教育訓練及宣導等改善作為,確保公司重要機密資訊不外洩。
3.資通安全具體管理方案
(1)網路安全:排程電腦掃描、軟體更新,精進網路防火牆防駭功能,網路監控,防止電腦病毒跨機台及跨廠區擴散。
(2)裝置安全:建置機台入廠掃毒機制,端點防毒措施,偵測惡意軟體行為。
(3)應用程式安全:包括應用程式安全自檢表,軟體開發流程及平台安全控管機制。
(4)供應鏈資通安全:建構供應商資安自我檢核機制,傳達最新資安規定及注意事項。
(5)資料安全保護技術強化:導入資料保護工具,藉由資料標籤加強文件機密等級分類及保護,資料加密控管及追蹤。
4.重大資通安全事件
民國113年度公司並未發現重大的網絡攻擊或事件己經或可能將對公司業務及營運產生重大不利影響,也未曾涉入任何與此有關的法律案件或監管調查。
5.資通安全風險對財務業務之影響及因應措施
本公司將持續建立網路與電腦相關資安防護措施,但無法保證其控管或維持公司製造營運及財務等重要企業功能之電腦系統,能完全避免來自任何第三方癱瘓系統的網路攻擊。這些網路攻擊以非法方式入侵本公司的內部網路系統,進行破壞公司之營運及損及公司商譽等活動。在遭受嚴重網路攻擊的情況下,本公司的系統可能會失去公司重要的資料,生產線也可能因此停擺。
網路攻擊也可能企圖竊取公司的營業祕密及其他機密資訊,例如客戶或其他利害關係人的專有資訊以及本公司員工的個資。惡意的駭客亦能試圖將電腦病毒、破壞性軟體或勒索軟體導入本公司的網路系統,以干擾公司的營運、對本公司進行敲詐或勒索,取得電腦系統控制權,或窺探機密資訊。這些攻擊可能導致公司因延誤或中斷訂單而需賠償客戶的損失,也可能使本公司因涉入公司對其有保密義務之員工、客戶或第三方資訊外洩而導致的相關法律案件或監管調查,而承擔重大法律責任。
5.1.本公司將持續檢視和評估資通安全規章及程序,以確保其適當性和有效性。但不能保證公司在瞬息萬變的資通安全威脅中不受推陳出新的風險和攻擊所影響。
5.2.為降低資通安全事件導致的服務中斷風險,已建置資料備份及系統備援機制,以確保資訊服務不中斷。並規劃定期執行災難還原演練,以驗證備份資料的正確性、可靠性及可還原性,確保資訊系統能持續正常運作。