資訊安全
1.華通已於2021年導入國際標準ISO27001資訊安全管理系統並取得認證,直至2023年已每年複審通過。
2.為確保本公司內部資訊安全管理事項之推動,已建立適當管理架構,以審核資訊安全政策、分配安全責任,從系統面、技術面、程序面降低企業資安威脅,建立符合客戶需求的資訊安全保護環境,並不斷地進行”計劃->實施->查核->行動”循環以持續改善。
資訊安全管理制度資訊安全組織架構如下
2-1.資訊安全管理代表兼召集人,由本公司資訊單位最高主管(資安長)擔任,負責審核資訊安全政策管理辦法、技術規範之研議、建置、資源評估等相關事項,每年定期或視需要召開會議,審查資訊安全管理相關事宜。
2-2.各廠區執行代表,由本公司資訊單位最高主管指派各廠區人員擔任,負責協調「資訊安全執行小組」與「緊急應變小組」執行資訊安全相關作業,對資訊安全狀況進行預警、監控,並對資訊安全事件進行處置。
2-3.資訊安全執行小組,成員由各廠區執行代表指派人員組成,負責制定資訊安全管理相關規範,推動資訊安全相關活動,執行稽核改善建議事項。
2-4.緊急應變小組,由各廠區執行代表指派人員組成,當重大資安事件發生時,負責協調及督導各關鍵業務流程負責人執行作業,並協調資源之調派以期快速復原。
2-5.資訊安全稽核小組,由資訊安全管理代表兼召集人指派,負責稽核資訊安全管理制度之執行情形。
3.為確保本公司及各廠區所屬之資訊資產的機密性、完整性及可用性,以符合相關法令、法規之要求,使其免於遭受內、外部蓄意或意外之威脅,並衡酌本公司及之業務需求,訂定資訊安全政策如下:
3-1.資訊安全目標
3-1-1.保護本公司及各廠區業務服務之安全,確保資訊需經授權人員才可存取資訊,以保障客戶權益,維護客戶資料,確保其機密性。
3-1-2.保護本公司及各廠區業務服務之安全,避免未經授權的修改,以確保其正確性與完整性。
3-1-3.建立本公司及各廠區營運持續計畫,以確保本公司業務服務之持續運作。
3-2.為達資訊安全目標,謹遵循ISMS資訊安全系統進行管理,管理範疇涵蓋14項管理領域,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司及各廠區造成各種可能之風險及危害,各管理領域分述如下:
3-2-1.資訊安全政策訂定與評估。
3-2-2.資訊安全組織。
3-2-3.人力資源安全管理。
3-2-4.資訊資產管理。
3-2-5.存取控制安全管理。
3-2-6.密碼學安全管理。
3-2-7.實體及環境安全管理。
3-2-8.運作安全管理。
3-2-9.通訊安全管理。
3-2-10.系統獲取、開發及維護安全管理。
3-2-11.供應商安全管理。
3-2-12.資訊安全事故管理。
3-2-13.營運持續管理之安全層面。
3-2-14.遵循性管理。
4.投入資通安全管理之資源
4-1.認證:通過ISO27001 資訊安全認證,最新效期2024/5。
4-2.成立資訊安全組織:負責公司資訊安全系統規劃、技術導入與相關的稽核事項,以維護及持續強化資訊安全。
4-3.客戶滿意:通過客戶稽核、無重大資安事件。
4-4.定期每年資安教育訓練、定期每月宣導資安注意事項。
4-5.資安預算編列:每年編列資安預算上千萬,含括防毒系統、EDR、弱點掃描、滲透測試、硬體更新、廠商維護、ISO27001審查…等。
4-6.加入政府資安聯防組織”臺灣CERT/CSIRT聯盟”、TPCA 資安交流會,參與訓練課程並接收資安通報。
4-7.資安新知:參加資安廠商資安說明會、臺灣資安大會..等。