資通安全攸關企業的營業秘密能否完善保護,本公司制定資通安全政策,以確保資訊資產的機密性、完整性及可用性,對內亦採取具體防範措施以落實資通安全;資通安全為本公司的重大風險議題之一,由董事長為資通安全管理委員會召集人,授權資訊部主管為管理代表,推動資通安全管理及運作、重要資訊保護措施、災害演練與執行計畫等。若有特殊事件或措施,將須提報風險管理委員會執行相關計畫。
資通安全管理委員會下設兩個執行小組,分別為「資通安全小組」及「內部稽核小組」;由資訊部成立資通安全小組,制定資通安全政策暨執行計畫,並推動落實與檢討改善,每季向資通安全管理代表報告資通管理現況;另外由稽核室成立內部稽核小組負責稽核,每年定期執行至少1次抽核資通安全政策執行情形,追蹤改善計畫執行成效。
2024年資通安全小組設有3人,內部稽核小組設有1人,期間共召開1次資通安全會議;2次年度內部稽核分別於3月及5月進行,並無重大缺失;且年內並未發生重大資通安全違規事件。
資通安全組織架構
| 制定管理辦法 |
- 為健全資通安全管理制度,於2022年3月完成ISO 27001認證,藉由國際資安管理標準落實相關管理制度,以提升同仁資通安全意識,建立正確的電腦網路使用準則,已分別制定資政策及相關管理程序書如下:資通安全政策、資通安全組織與目標管理程序書、資訊資產管理程序書、資通安全風險評鑑、實體安全、作業安全、存取控制、資通安全事件管理等22本程序書及說明書。
- 導入ISO 27001:合一生技於2021年規劃導入ISO 27001 Information Security Management System (ISMS),確認導入驗證範圍後將進行落差分析與修正,包含系統與管理面;執行項目包含風險評估、弱點修復、安全防護、風險驗證、資產清查及風險評鑑及人員教育訓練等工作項目,並完成相關文件建置,並已於2022年3月2日由國際驗證公司BSI 核發通過認證證書,證書效期至2025年3月1日止。
|
 |
|
| 資訊技術 |
- 公司在資通安全防護上,建立軟體與硬體多層次防護,包含帳號複雜性密碼驗證、主機與用戶端防毒、上網行為管理、惡意網站防護、防火牆阻擋、主機資料備份、資料加密、網路IP管理等。
- 業務持續運作計畫(BCP):當災害事件影響業務運作時得啟動此計畫,應變處理由資通安全小組統籌負責,確保資訊服務能於最短時間內回復至最低營運水準,以降低事件所造成之損失,每年至少演練1次,增進相關人員執行之熟練度,以確保計畫之有效性。已於2024年3月1日進行資訊災變演練,系統及資料庫經回復皆可正常運作。
|
| 推廣與改善 |
- 強化資通安全管理機制,並提升同仁資通安全觀念與強化自我保護意識,每年至少辦理1次資通安全管理審查會,針對年內相關資安制度與事件進行監督與管制,另每年至少舉行資通安全宣導3小時以及資通安全事件通報演練1次。
- 2024年,辦理資通安全教育訓練共計3場次,內容包含「資通安全教育訓練(ISO 27001)」、「資通安全教育訓練-個人資料防護實務」、「管理講座-物聯網安全」等;另外執行1次電子郵件社交工程演練,以提升公司全體人員的資安意識。
|
| 加入資安聯防機制 |
- 為強化主動防禦策略,於2022年9月加入TWCERT/CC資安聯盟,TWCERT/CC透過與國內外CERT/CSIRT、資安組織、學研機構、民間社群、政府單位及私人企業間資安情資共享,提升國家整體資安聯防能量,共同維護臺灣整體網路安全。本公司不定期透過該平台進行網駭情資交換,期藉由該聯防機制,擴大公司資安防禦廣度。
- 漏洞分析(Vulnerability Analysis):每年資通安全小組亦會針對本公司的資安系統進行漏洞分析,以確保設備機房、網際網路、EIP系統及辦公室環境之資通安全管理完善。本公司於2024年2月23日進行系統弱點掃描,並針對識別出的風險進行深入分析。後續依據分析結果,已制定並執行相應改善措施,以降低潛在威脅並提升系統安全性。
|
資通安全事件通報與應變流程圖
2024年資安教育訓練課程
註1:全體員工/高風險員工或特定部門,以課程當月總人數計。
資訊安全管理成效表
※以上內容取自ESG報告書
