具体管理方案与投入资通安全管理之资源
本公司对于信息安全控管相当重视,在信息安全保护所实行之具体作法主要以五个方面进行资通安全管理:
01
员工管理
公司于员工任用时,与受雇员工签订「聘雇合约书」,于合约中约定,受雇员工在受雇期间之所有的创作及发明,其知识产权应归属于公司。同时,亦与受雇员工签订详尽的「保密合约」,不論聘雇合约期间或终止后,受雇员工对任职期间所接触到之所有商业信息、技术、制程、程序、流程、设计或其他任何可用于设计、销售或经营之公司机密信息,皆应尽保密之责,如有违反契约之行为,公司得依照工作规则给予惩处,并视情节重大情形,追诉其民刑事责任。公司利用各样会议不定期对员工进行倡导,包含营业机密保护、门禁管制规则、对外信息揭露原则等等,务使员工建立正确的观念并且养成好的工作习惯。
02
装置控管
公司计算机设备皆需安装防病毒软件并由系统判定符合规范之计算机才给与网络连接权限。非经公司许可之计算机设备严禁接入公司网络,如有未经许可之设备接入系统将自动进行网络封锁,以避免不符规范之计算机装置影响公司内部网络与设备。
03
权限管理
公司同仁登入个人计算机需通过双因素身分验证(系统账号密码 + OTP一次性密码),以避免账号被窃取冒用的情况发生。各研发项目皆有严格权限控管,项目成员需提出窗体申请,经主管同意后由信息管理人员设定访问权限,并且每半年进行一次访问权限复核,以确保权限管理之正确性。
04
资料管理
公司研发相关数据皆存放于专业型储存设备中,具有高可用性的备援能力,项目研发数据皆有权限控管,仅允许授权成员进行存取。公司研发数据有完整的定期备份机制,并采取异地存放,以确保灾难发生时的复原(Disaster Recovery)能力。
05
输出管理
产品交货给客户时需完成申请作业,经相关主管、业务承办人员同意后,由系统将数据加密后直接上传到公司提供予客户下载之专属空间,不经任何人工操作的介入,且此专属空间仅允许客户提供之特定IP设备联机,联机开放时间以一个月为限。
| 类型 | 项目 | 防范目的 | 投入资通安全管理资源说明 |
| 员工管理 | 信息安全倡导 | 预防降低中毒机率 | 新进人员资安倡导 定期对员工进行国内外重大资安异常事件案例分享。 |
| 装置控制 | 防病毒软件 非信任装置阻挡 |
预防中毒 | 资安系统采购与建置 系统判定符合规范之计算机才给与网络连接权限。如有未经许可之设备接入系统将进行网络封锁。 |
| 权限管理 | 双因素身分验证 专案权限控管 |
避免账号冒用 |
双因子认证系统建置 内部研发管理系统开发 |
| 资料管理 | 专业型储存设备 本地备援架构 异地数据备份 |
避免数据丢失 |
专业型储存设备采购 专业型被软软件采购 |
| 输出管理 | 系统自动化抛转 专属加密空间 |
避免数据外泄 | 内部出货管理系统开发 产品交货给客户时,需申请表单,经相关主管、业务承办人员同意后,由系统将数据加密后直接上传到公司提供予客户下载之专属空间,不经任何人工操作的介入。 专属空间仅允许客户提供之特定IP设备联机,联机开放时间以一个月为限。 |
资通安全管理执行概况
于2023年8月3日报告董事会本年度之执行重点如下:
| 项目 | 执行细节 | 执行成效 |
| 微软操作系统升级 | Win 7 & Win 2008 操作系统微软已不提供安全性更新,为降低潜在资安风险,进行升级作业。 Win 7 to Win 10 升级完成率 100% Win 2008 to Win 2019 升级完成率 100% |
如操作系统有高风险漏洞可实时进行修补,目前无重大资安事件。 |
| 机房不断电系统 老旧电池汰换作业 | 机房内的伊顿不断电系统是从旧办公室移机过来,在例行性保养时发现电池已老化,蓄电时间已不稳定,故进行计划性汰换作业。 汰换老旧电池后,蓄电时间从15分钟延长至 50分钟。 |
确保电力异常中断时,有足够的反应时间进行重要主机关机,避免数据损坏。 |
| 信息安全意识提升 | 为降低公司受到钓鱼邮件的威胁,已调整邮件规则,来自公司外部的邮件,邮件主旨会增加 [External],邮件本文会增加提醒字句,提醒同仁提高警觉,勿轻易点击链接与开启附件。 | 目前无重大资安事件。 |
| 仿真运算空间数据管理 | 避免储存空间不足,造成RD模拟运算Job失败,除了依公司营运进行新储存空间采购作业外,同时也已建立自动化扫描机制,每周会自动产出空间使用报表,提供RD同仁确认并移除模拟临时文件,确保一线模拟空间维持在安全水位。 | 储存空间有实时监控机制,并定期进行空间Review,目前无空间不足的事件发生。 |