Menu

公司治理-資訊安全政策

一、目的

為強化牧德科技股份有限公司(以下簡稱「本公司」)信息安全管理,確保所屬各項資產、信息的機密性、完整性及可用性,以符合相關法令、法規之要求,使其免于遭受內、外部蓄意或意外之威脅,訂定本政策。

二、適用范圍

(一)本政策適用范圍為本公司全體同仁、委外服務廠商與訪客等。

(二)信息安全管理范疇涵蓋以下領域,避免因人為疏失、蓄意或天然災害等因素,導致數據不當使用、泄漏、竄改、破壞等情事發生,對本公司造成各種可能之風險及危害,管理事項如下:

1. 信息安全政策訂定與評估。

2. 信息安全組織建立及運作。

3. 信息資產分類分級與管制。

4. 信息安全風險管理。

5. 人員安全管理與教育訓練。

6. 實體與環境安全。

7. 通訊與作業安全管理。

8. 訪問控制安全。

9. 相關法規與施行單位政策之符合性。

三、目標

為維護本公司資產之機密性、完整性與可用性,并保障用戶數據隱私之安全。藉由本公司全體同仁共同努力以達成下列目標:

(一)保護本公司研發、業務、生產、服務之信息安全,確保信息需經授權人員才可存取信息,以確保其機密性。

(二)保護本公司研發、業務、生產、服務之信息安全,避免未經授權的修改,以確保其正確性與完整性。

(三)確保本公司各項業務、服務等之執行,須符合相關法規之要求。

四、信息安全組織

本公司成立信息安全管理委員會,由信息部最高主管擔任召集人,并由實際執行資安計劃之網絡服務成員共同組成。團隊負責外部信息風險評估與資源導入協助、信息安全制度建置、資安督導稽核、持續強化資安方面觀念。

五、資安對策

六、持續改善架構

仍維持PDCA(Plan-Do-Check-Act)循環式管理,確保目標達成且持續改善。

并且于110年底,證券交易所協助上市公司強化資安防護及管理,所發布「上市上柜公司資通安全管控引」做為公司改善循環基礎。

七、信息安全的建置與執行狀況

牧德科技是以研發為主的信息團隊,故特別重視與維護研發的關鍵競爭能力,除了和許多其他公司都建置的防毒防駭的軟硬件防護措施外。

截止至110年度已完成導入三層面信息安全建置,說明如下:

(一)數據加密管理:全公司的文件檔案數據、圖文件、軟件程序皆進行數據加密管理,如有需要與客戶,供貨商相關的報告數據,則需進行申請與解密作業程序。外部客戶與供貨商才能讀取該報告,達到業務活動進行與供貨商提供相關服務。

(二)強化使用環境資安:目前高度資安區域的研發部門,是限定個人作業信息設備, 任何外部計算機與硬設備攜入是限制聯機牧德內部環境,且個人作業用計算機設備,也會因為不當作業使用遭到封鎖使用。而全公司USB管制使用方面,因銷售與客戶服務避免不了需要數據分析協助,信息部則在各樓層提供公用掃毒計算機,將數據進行先掃毒后上傳作業。

(三)內部防病毒軟件與對外防火墻防毒防駭的建置。

近期各大廠遭受惡意軟件與計算機病毒攻擊狀況復雜,信息安全的防護意識持續加強,透過一線資安廠商的訓練與實時協助,減少牧德科技對客戶與股東的承諾的風險、以及降低營運成果、財務、前景受到重大不利影響。

111年度執行目標:

基于委員會于董事會回報之改善重點如下:

(一)持續強化信息安全架構建置。

(二)執行面的落實:追蹤資安個案與內部資安報告。

(三)提升公司同仁資安意識:安排信息安全教育訓練課程與同仁信息安全觀念測驗。

八、信息安全風險管理架構

本公司針對資安風險成立風險管理的委員會,由信息部最高主管擔任召集人,并由實際執行資安計劃之網絡服務成員共同組成。團隊負責信息安全制度建置、技術導入、資安督導稽核。

委員會針對資安與網絡風險評估流程進行,以風險影響的等級與發生機率進行風險分析,并針對高風險環境與系統進行對應的管理機制,建立高可靠度架構、數據備份架構、異地備援架構進行建置。以降低資安事件影響。

委員會制訂與定期檢討資安政策,包括資安事件通報與應變機制;另定期向董事會報告信息安全檢查情形。

委員會近期評估報告為110年12月29,信息安全風險評估項目: (一)外部資安防護設備、(二)端點資安管控、(三)文件安全加密檢視、(四)網絡服務活動檢視、(五)異地備機備援機制。其中110年主要執行摘要如下:

1. 外部資安防護設備:升級網絡防火墻設備,并導入自動統計分析管理戰情信息平臺。

2. 異地備機備援機制:ERP重要主機系統升級高可靠度搭配虛擬服務器架構、備份服務器升級改善執行。

3. 整機備份服務與數據同步:未來持續改善信息安全作業執行的落實度與主動性的同仁信息安全教育訓練。

一本大道一卡2卡三卡4卡乱码