具體管理方案與投入資通安全管理之資源
本公司對於資訊安全控管相當重視,在資訊安全保護所採行之具體作法主要以五個方面進行資通安全管理
01
員工管理
公司於員工任用時,與受雇員工簽訂「聘僱合約書」,於合約中約定,受雇員工在受雇期間之所有的創作及發明,其智慧財產權應歸屬於公司。同時,亦與受雇員工簽訂詳盡的「保密合約」,不論聘僱合約期間或終止後,受雇員工對任職期間所接觸到之所有商業資訊、技術、製程、程式、流程、設計或其他任何可用於設計、銷售或經營之公司機密資訊,皆應盡保密之責,如有違反契約之行為,公司得依照工作規則給予懲處,並視情節重大情形,追訴其民刑事責任。公司利用各樣會議不定期對員工進行宣導,包含營業機密保護、門禁管制規則、對外資訊揭露原則等等,務使員工建立正確的觀念並且養成好的工作習慣。
02
裝置控管
公司電腦設備皆需安裝防毒軟體並由系統判定符合規範之電腦才給與網路連接權限。非經公司許可之電腦設備嚴禁接入公司網路,如有未經許可之設備接入系統將自動進行網路封鎖,以避免不符規範之電腦裝置影響公司內部網路與設備。
03
權限管理
公司同仁登入個人電腦需通過雙因素身分驗證(系統帳號密碼 + OTP一次性密碼),以避免帳號被竊取冒用的情況發生。各研發專案皆有嚴格權限控管,專案成員需提出表單申請,經主管同意後由資訊管理人員設定存取權限,並且每半年進行一次存取權限覆核,以確保權限管理之正確性。
04
資料管理
公司研發相關資料皆存放於專業型儲存設備中,具有高可用性的備援能力,專案研發資料皆有權限控管,僅允許授權成員進行存取。公司研發資料有完整的定期備份機制,並採取異地存放,以確保災難發生時的復原(Disaster Recovery)能力。
05
輸出管理
產品交貨給客戶時需完成申請作業,經相關主管、業務承辦人員同意後,由系統將資料加密後直接上傳到公司提供予客戶下載之專屬空間,不經任何人工作業的介入,且此專屬空間僅允許客戶提供之特定IP設備連線,連線開放時間以一個月為限。
| 類型 | 項目 | 防範目的 | 投入資通安全管理資源說明 |
| 員工管理 | 資訊安全宣導 | 預防降低中毒機率 | 新進人員資安宣導 定期對員工進行國內外重大資安異常事件案例分享。 |
| 裝置控管 | 防毒軟體 非信任裝置阻擋 |
預防中毒 | 資安系統採購與建置 系統判定符合規範之電腦才給與網路連接權限。如有未經許可之設備接入系統將進行網路封鎖。 |
| 權限管理 | 雙因素身分驗證 專案權限控管 |
避免帳號冒用 |
雙因子認證系統建置 內部研發管理系統開發 |
| 資料管理 | 專業型儲存設備 本地備援架構 異地資料備份 |
避免資料遺失 |
專業型儲存設備採購 專業型被軟軟體採購 |
| 輸出管理 | 系統自動化拋轉 專屬加密空間 |
避免資料外洩 | 內部出貨管理系統開發 產品交貨給客戶時,需申請表單,經相關主管、業務承辦人員同意後,由系統將資料加密後直接上傳到公司提供予客戶下載之專屬空間,不經任何人工作業的介入。 專屬空間僅允許客戶提供之特定IP設備連線,連線開放時間以一個月為限。 |
資通安全管理執行概況
於2023年8月3日報告董事會本年度之執行重點如下:
| 項目 | 執行細節 | 執行成效 |
| 微軟作業系統升級 | Win7 & Win2008 作業系統微軟已不提供安全性更新,為降低潛在資安風險,進行升級作業。 Win 7 to Win 10 升級完成率100% Win 2008 to Win 2019 升級完成率 100% |
如作業系統有高風險漏洞可即時進行修補,目前無重大資安事件。 |
| 機房不斷電系統 老舊電池汰換作業 |
機房內的伊頓不斷電系統是從舊辦公室移機過來,在例行性保養時發現電池已老化,蓄電時間已不穩定,故進行計畫性汰換作業。 汰換老舊電池後,蓄電時間從15分鐘延長至 50分鐘。 |
確保電力異常中斷時,有足夠的反應時間進行重要主機關機,避免資料損壞。 |
| 資訊安全意識提升 | 為降低公司受到釣魚郵件的威脅,已調整郵件規則,來自公司外部的郵件,郵件主旨會增加 [External],郵件本文會增加提醒字句,提醒同仁提高警覺,勿輕易點擊連結與開啟附件。 | 目前無重大資安事件。 |
| 模擬運算空間資料管理 | 避免儲存空間不足,造成RD模擬運算Job失敗,除了依公司營運進行新儲存空間採購作業外,同時也已建立自動化掃描機制,每周會自動產出空間使用報表,提供RD同仁確認並移除模擬暫存檔案,確保一線模擬空間維持在安全水位。 | 儲存空間有即時監控機制,並定期進行空間Review,目前無空間不足的事件發生。 |