资通安全攸关企业的营业秘密能否完善保护,本公司制定资通安全政策,以确保信息资产的机密性、完整性及可用性,对内亦采取具体防范措施以落实资通安全;资通安全为本公司的重大风险议题之一,由董事长为资通安全管理委员会召集人,授权信息部主管为管理代表,推动资通安全管理及运作、重要信息保护措施、灾害演练与执行计划等。若有特殊事件或措施,将须提报风险管理委员会执行相关计划。
资通安全管理委员会下设两个执行小组,分别为”资通安全小组”及”内部稽核小组”;由信息部成立资通安全小组,制定资通安全政策暨执行计划,并推动落实与检讨改善,每季向资通安全管理代表报告资通管理现况;另外由稽核室成立内部稽核小组负责稽核,每年定期执行至少1次抽核资通安全政策执行情形,追踪改善计划执行成效。
2024年资通安全小组设有3人,内部稽核小组设有1人,期间共召开1次资通安全会议;2次年度内部稽核分别于3月及5月进行,并无重大缺失;且年内并未发生重大资通安全违规事件。
资通安全组织架构
| 制定管理办法 |
- 为了健全资通安全管理制度,于2022年3月完成ISO 27001认证,藉由国际资安管理标准落实相关管理制度,以提升同仁资通安全意识,建立正确的计算机网络使用准则,已分别制定资安政策及相关管理程序书如下:资通安全政策、资通安全组织与目标管理程序书、信息资产管理程序书、资通安全风险评鉴、实体安全、作业安全、访问控制、资通安全事件管理等22本程序书及说明书。
- 导入ISO 27001:合一生技于2021年规划导入ISO 27001 Information Security Management System (ISMS),确认导入验证范围后将进行落差分析与修正,包含系统与管理面;执行项目包含风险评估、弱点修复、安全防护、风险验证、资产清查及风险评鉴及人员教育训练等工作项目,并完成相关文件建置,并已于2022年3月2日由国际验证公司BSI 核发通过认证证书,证书效期至2025年3月1日止。
|
 |
|
| 信息技术 |
- 公司在资通安全防护上,建立软件与硬件多层次防护,包含账号复杂性密码验证、主机与客户端防毒、上网行为管理、恶意网站防护、防火墙阻挡、主机数据备份、数据加密、网络IP 管理等。
- 业务持续运作计划(BCP):当灾害事件影响业务运作时得启动此计划,应变处理由资通安全小组统筹负责,确保信息服务能于最短时间内回复至最低营运水平,以降低事件所造成之损失,每年至少演练1次,增进相关人员执行之熟练度,以确保计划之有效性。已于2024年3月1日进行信息灾变演练,系统及数据库经回复皆可正常运作。
|
| 推广与改善 |
- 强化资通安全管理机制,并提升同仁资通安全观念与强化自我保护意识,每年至少办理1次资通安全管理审查会,针对年内相关资安制度与事件进行监督与管制,另每年至少举行资通安全倡导3小时以及资通安全事件通报演练1次。
- 2024年,办理资通安全教育训练共计3场次,内容包含「资通安全教育训练(ISO 27001)」、「资通安全教育训练-个人资料防护实务」、「管理讲座-物联网安全」等;另外执行1次电子邮件社交工程演练,以提升公司全体人员的资安意识。
|
| 加入资安联防机制 |
- 为强化主动防御策略,于2022年9月加入TWCERT/CC资安联盟,TWCERT/CC透过与国内外CERT/CSIRT、资安组织、学研机构、民间社群、政府单位及私人企业间资安情资共享,提升国家整体资安联防能量,共同维护台湾整体网络安全。本公司不定期透过该平台进行网骇情资交换,期藉由该联防机制,扩大公司资安防御广度。
- 漏洞分析(Vulnerability Analysis):每年资通安全小组亦会针对本公司的资安系统进行漏洞分析,以确保设备机房、因特网、EIP系统及办公室环境之资通安全管理完善。本公司于2024年2月23日进行系统弱点扫描,并针对识别出的风险进行深入分析。后续依据分析结果,已制定并执行相应改善措施,以降低潜在威胁并提升系统安全性。
|
资通安全事件通报与应变流程图
2024年资安教育训练课程
注1:全体员工/高风险员工或特定部门,以课程当月总人数计。
信息安全管理成效表
※以上内容取自ESG报告书
