豐祥集團為實踐資訊安全管理,成立資安專責單位並設置1名資安主管及2名資安人員負責本集團之資安管理,資安管理範疇集中在公司作業流程、資安法令遵循、人員資安意識訓練、自動化生產製程、個人隱私保護、客戶資安要求及新興科技運用之資安防範。
參考台灣資通安全管理法及依據台灣金管會「上市上櫃公司資通安全管控指引」,本公司定期執行內部資訊安全檢查確認資安管理的有效性及成熟度,並將資安檢查結果彙整後於年度結束次年1月,向管理階層報告資通安全執行情形。
本公司截至2024年底均無發生任何侵犯客戶隱私或遺失客戶資料的投訴事件。
資訊安全政策
目的 | 本公司為為確保資料、系統、設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險,並建立資訊安全管理架構,以確保資訊之機密性、完整性與可用性。 |
範圍 | 本公司資訊安全管理範圍,包括本公司所屬各子公司、據點,資訊作業之相關人員、管理制度、應用程式、資料、文件、媒體儲存、硬體設備及網路設施。 |
內容 | 1.建立組織資安專責單位,負責推動資訊安全工作。 2.評估人員之任免、職務之分派,對離職、休職、停職或調職之人員,應建立控管及人力備援制度;另定期辦理資訊安全教育訓練及宣導,提升人員資訊安全認知及水準。 3.建立資訊資產的保管制度,有效分配、運用及管理資訊資源。 4.評估資訊資產之安全等級,並賦予相關人員適當存取權限。 5.考量建築物之防害、防竊設計,重要設施及特殊場所應加強管制。 6.提昇電腦網路防禦技術,適時阻絕外界之入侵、破壞。 7.電腦系統之新增或變更作業建立控管制度並完整記錄,以備查核。 8.建立資訊緊急處理機制與災營運持續演練計畫,並定期操演、測試紀錄。 9.遵循主管機各項作業規範及適時更新相關資訊法規以符合法令依據。 |
本公司的資訊安全政策涵蓋本公司及海內外子公司,是以「一、遵循主管機各項作業規範及適時更新相關資訊法規以符合法令依據;二、建立資訊資產的保管制度,有效分配、運用及管理資訊資源;三、保護公司與客戶資訊的機密性、完整性與可用性;四、提昇電腦網路防禦技術,阻絕外界之入侵、破壞,確保公司業務之永續營運」為指導準則。並以防毒、防駭、防漏三大資安防護主軸為目標,建立防火牆、防毒系統、端點防護等諸多內控系統,以提升公司在防禦外部攻擊以及確保內部機密資訊的防護能力。
本公司已導入並建置完整的資訊安全管理系統( ISMS, Information Security Management System),從系統面、技術面、程序面降低企業資安威脅,建立符合客戶需求的資訊安全保護環境,並不斷地進行「計劃-實施-查核-行動」(Plan- Do-Check-Act)PDCA循環以持續改善。
其中「計劃階段」著重資安風險管理,為了強化資訊安全,本公司自2024年導入 ISO 27001 資訊安全管理體系認證,使資訊系統皆能在標準的管理規範下運作,降低因人為疏失所造成的安全漏洞及異常,也透每年的內稽作業,不斷持續改善。在ISO 27001認證通過後,公司決定再投入資源以獲得TISAX認證,TISAX認證涵蓋了汽車產業内的資訊安全要求,是一種針對產業自身需求而精準制定並優化的安全標準。TISAX之認證訊息可參考官網 https://enx.com/en-US/TISAX/。
「執行階段」建構多層資安防護機制,持續導入新式資安風險控管技術,以智慧化/自動化機制提升各類資安事件之偵測及回應處理程序的效率,並強化資訊安全及網路安全保護流程,以維護公司重要資產的防護。
「查核階段」定期監控資安管理指標成效,公司之ISO 27001管理系統每年進行第三方複評稽核,另對於新資訊系統的導入,於上線前皆要求廠商進行弱點掃描,以持續確保資安防禦能力。
「行動階段」檢討與持續改善,當員工及承包商違反資安相關規範時,將依據規定進行懲處,並持續進行全員資安教育訓練以提升資訊安全意識。
資安風險管理架構與執行策略
資安風險管理架構
本公司於2024年成立「資安管理委員會」負責資訊作業安全管理規劃,建置資訊安全管理體系,統籌資安相關政策之制定、執行、風險管理與遵循度查核。本公司資訊安全組織由總經理擔任主席,公司內各單位(包含財務、人資、研發、工程、生產等)主管均為委員會成員(如下圖所示);另同時成立「資訊安全室」,專責公司資訊安全及實體安全規劃與相關的稽核事項,亦主導此委員會運行。
資安管理委員會透過每年之管理審查會議,審核資安風險分析結果以及對應的防護措施,確保資訊安全管理體系持續運作的適用性、適切性及有效性。委員會每年向董事會彙報資安管理成效及資安策略方向。
另本公司的資訊安全管理架構是使用美國國家標準與技術研究所(NIST)的網路安全框架(CSF),建構全面且有效的資訊安全風險管理架構。
資安管理採用NIST CSF 2.0版本,其中包括6個功能為「治理」、「識別」、「保護」、「偵測」、「回應」和「復原」,以及各自的資訊安全控制項,從而確保本公司在面對資安威脅時擁有全面的應對能力,下列概述本公司的控制作為:
- 治理 (Govern):建立全集團的資訊安全風險管理政策,確保資訊安全的控制措施符合法規標準,並建立明確的指導方針,以引導組織內部在資訊安全方面的作業。
- 識別 (Identify): 透過確認資訊資產、資安風險評估和企業營運環境分析,以確保深入理解本公司所面臨的資安挑戰。
- 保護 (Protect): 本公司實施適當的資訊安全政策、程序和技術措施,希望以有限的資源發揮最大綜效,而減少資訊資產的資安風險。
- 偵測 (Detect): 建立適當的監控系統,確保能及早發現任何可能的資安事件,以便迅速應對。
- 回應 (Respond): 建立資安事故回應團隊,在發生安全事件時,擁有迅速應對資安事件的機制,將可能的損失最小化。
- 復原 (Recover): 制定全面的營運持續及復原計畫,確保業務能夠在最短時間內回復正常運作。
資安風險管理執行策略
本公司的資訊安全風險管理的執行策略是建立在三道防線上,以確保全面性的資安保護:
第一道防線:資訊單位及內部單位
在這一層,資訊單位和內部單位共同負責資訊安全的執行。他們的權責包括確保資安政策的全面執行和資安作業的正確實施。
第二道防線:資安單位
由資安單位負責,其權責涵蓋制定資安程序與管理,以及督促整體資安風險管理的實施。這一層確保資安程序的制定和管理受到適當的關注,同時監控並促進資安風險管理的實施。
第三道防線:稽核單位
由稽核單位負責,其權責包括確認資安風險控管的有效性以及內控稽核資安作為的合規性。這一層確保資安風險控管的有效性,同時對內部資安作為進行稽核,以確保合規性和效率。
具體管理方案
為達資安政策與目標,建立全面性的資安防護,本公司推行之具體管理方案如下:
- 資安防護能量提升:除實施資安系統脆弱度分析機制外,亦至台灣電腦網路危機處理暨協調中心確認相關資安與漏洞情報,並對公司現有系統加以補強修護,降低資安風險。另建立安全事件應變計畫,依事件嚴重等級進行影響和損失評估,並採取對應行動。
- 精進資安管理程序:依據NIST(National Institute of Standards and Technology)標準建立企業資安框架,設置對應的度量指標。員工應遵守資安規定、遵循SOP作業,並不斷地進行PDCA循環以持續改善。
- 增進郵件、用戶端安全:為E-mail採購微軟 Defender for Office 365 服務,以抵禦詐騙/垃圾郵件、釣魚攻擊、惡意軟體等電子郵件威脅。此外提升用戶端防毒程式等級、另加裝惡意軟體偵測程式,提升用戶端整體防禦強度。
- 導入國際資安認證:本公司已通過資訊安全ISO 27001認證,作為達成各項風險管理的方法與檢驗依據。公司亦成立對應的資安管理委員會,推動各項標準化作業,降低營運風險。
- 教實施育訓練:進行全員資安教育訓練與不定期社交工程釣魚郵件測試,以提升資安意識,使資安的運作落實到主管與每一位員工身上。
資安管理運作情形
員工資安教育訓練
2024年11月份越南VPIC1針對各部門越南籍新入職員工進行ISO27001:2022新進人員資訊安全教育訓練,兩個場次合計約30位人員參加。
2023年12月11日越南VPIC1針對各部門越南籍資安負責人進行ISO27001:2022資訊安全管理系統教育訓練,共計59位人員參加。
加入外部資安及情資聯盟
本公司自2023年11月及12月陸續加入台灣及越南的資安情資單位,並定期接收外部資安情資如:產品漏洞、駭客組織攻擊情報、集團網域內之資安攻擊偵測等情資,藉由外部聯盟的力量強化集團資安情資來源,以利資安人員能夠更全面性的保障集團的資訊資產、網路安全、生產安全及資訊安全。
定期發送資安月刊
本公司固定於每月初對高階管理層、各經理、副理人員寄送資安月刊,月刊內容涵蓋:近期資安新聞、值得關注資安新聞或議題和資安通識等,以期望提供集團管理層人員之資安意識。
驗證汽車行業資安評估TISAX
本公司預計於2024年度啟動TISAX評估專案,順應汽車產業供應商之資訊安全潮流,為符合客戶要求的評估等AL2,本公司將基於ISO27001:2022管理體系再擴充個人資料保護及GDPR,以確保符合TISAX要求,並預計於2025年取得驗證。
資安管理體系與驗證
本公司為確保資訊安全的建立,建置完整資訊安全的管理體系,於2023年11月啟動資訊安全管理系統ISO27001:2022,共新增24份資安政策及程序、54份管制表單,並已於2024年中建置完成;在通過獨立第三驗證單位TUV驗證通過後於同年8月取得系統證書。
投入資通安全管理之資源
- 資訊安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:
- 專責人力:設有專職之組織「資訊安全室」,負責公司資訊安全規劃、技術導入與相關的稽核事項,以維護及持續強化資訊安全。
- ISO 27001認證:已通過 ISO 27001:2022 資訊安全認證,並每年進行續評。
- TISAX認證:已規劃於2025年導入TISAX系統,目標於同年年底前獲得認證。
- 教育訓練:所有新進員工到職前皆需完成資訊安全教育訓練課程;集團每個月透過資安月報,為全體員工提供最新資安趨勢與新聞並教導各類資安知識。
- 資安海報:每年製作十二份資安海報,傳達資安防護重要規定與注意事項。
- 廠商與供應鏈:所有新進合作廠商均完成本公司之”供應商與委外作業資安風險審查”,如有派駐廠區之廠商必須完成資安教育訓練。