投资人专区

资通安全

资通安全攸关企业的营业秘密能否完善保护,本公司制定信息安全政策,对内亦采取具体防范措施以落实资通安全:由信息部成立资通安全小组,制定资通安全政策暨执行计划,并推动落实与检讨改善,每季向资通安全管理代表报告资通管理现况;另外由稽核室成立内部稽核小组负责稽核,每年定期执行两次抽核资通安全政策执行情形,追踪改善计划执行成效。2023年资通安全小组设有2人,内部稽核小组设有1人,期间召开1次资通安全会议,年内并未发生重大资通安全违规事件。

 

资通安全为合一的重大风险议题之一,由董事长为资通安全管理委员会召集人,授权资讯长为管理代表,推动资通安全管理及运作、重要资讯保护措施、灾害演练与执行计划等。若有特殊事件或措施,将提报风险管理委员会执行相关计划。

 

于2021年规划导入ISO 27001 Information Security Management System(ISMS),确认导入验证范围后将进行落差分析与修正,包含系统与管理面,执行项目包含风险评估、弱点修复、安全防护、风险验证、资产清查及风险评鉴及人员教育训练等工作项目,并完成相关文件建置,并已于2022年3月2日由国际验证公司BSI核发通过认证证书,证书效期至2025年3月1日止。

资通安全组织架构

 

 


制定管理办法
合一生技为健全资通安全管理制度,于2022年3月完成ISO 27001认证,借由国际资安管理标准落实相关管理制度,以提升同仁资通安全意识,建立正确的电脑网路使用准则,已分别制定资政策及相关管理程序书如下:资通安全政策、资通安全组织与目标管理程序书、资讯资产管理程序书、资通安全风险评鉴、实体安全、作业安全、存取控制、资通安全事件管理等22本程序书及说明书。

 

资讯技术
公司在资通安全防护上,建立软体与硬体多层次防护,包含帐号复杂性密码验证、主机与用户端防毒、上网行为管理、恶意网站防护、防火墙阻挡、主机资料备份、资料加密、网路IP管理等。

 

推广与改善
健全资通安全管理机制,提升同仁资通安全观念与强化自我保护意识,每年至少办理1次资通安全管理审查会,针对年内相关资安制度与事件进行监督与管制,另每年至少举行资通安全宣导3小时以及资通安全事件通报演练1次,2022年共计2场次,计有社交工程演练说明、上市上柜资安指引等教育训练。另外2023年执行4次电子邮件社交工程演练,员工遭钓鱼成功机率为9.13%,以提升公司人员资安意识。

 

加入资安联防机制
为强化主动防御策略,合一生技于2022年9月加入TWCERT/CC资安联盟,不定期透过该平台进行网骇情资交换,期借由该联防机制,扩大公司资安防御广度。

 

资通安全事件通报与应变流程图

 


2023年资安教育训练统计

2023資安教育訓練統計

1:ISO 27001主导稽核员认证的证照效期为三年,2022年共2人受训,2023年共1人受训。2023年IT部门ISO 27001主导稽核员取证率为100%。

2:全体员工/高风险员工或特定部门,以课程当月总人数计。


信息安全管理成效表

信息安全管理成效表

※以上内容取自ESG报告书

 

關閉

建議您使用以下瀏覽器觀看合一網站,
以獲得最佳瀏覽效果。

要下載瀏覽器,請直接點擊以下: IE瀏覽器現已不支援大多數網站,並將於2022年6月終止服務

如何使用IE找到Microsoft Edge?

  1. 開啟新分頁(紅色框)
    開啟新分頁
  2. 於搜尋框中打入Edge(紅色框),並按搜尋(藍色框)
    於搜尋框中打入Edge,並按搜尋
  3. 點擊【立即啟動】(藍框處)打開 Microsoft Edge
    啟動Microsoft Edge