豐祥集團為實踐資訊安全管理,成立資安專責單位並設置1名資安主管及2名資安人員負責本集團之資安管理,資安管理範疇集中在公司作業流程、資安法令遵循、人員資安意識訓練、自動化生產製程、個人隱私保護、客戶資安要求及新興科技運用之資安防範。

參考台灣資通安全管理法及依據台灣金管會「上市上櫃公司資通安全管控指引」,本公司定期執行內部資訊安全檢查確認資安管理的有效性及成熟度,並將資安檢查結果彙整後於每季董事會報告。

本公司於2023年度無發生任何侵犯客戶隱私或遺失客戶資料的投訴事件。

資訊安全政策

目的本公司為為確保資料、系統、設備及網路通訊安全,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或毀損等風險,並建立資訊安全管理架構,以確保資訊之機密性、完整性與可用性。
範圍本公司資訊安全管理範圍,包括本公司所屬各子公司、據點,資訊作業之相關人員、管理制度、應用程式、資料、文件、媒體儲存、硬體設備及網路設施。
內容1.建立組織資安專責單位,負責推動資訊安全工作。
2.評估人員之任免、職務之分派,對離職、休職、停職或調職之人員,應建立控管及人力備援制度;另定期辦理資訊安全教育訓練及宣導,提升人員資訊安全認知及水準。
3.建立資訊資產的保管制度,有效分配、運用及管理資訊資源。
4.評估資訊資產之安全等級,並賦予相關人員適當存取權限。
5.考量建築物之防害、防竊設計,重要設施及特殊場所應加強管制。
6.提昇電腦網路防禦技術,適時阻絕外界之入侵、破壞。
7.電腦系統之新增或變更作業建立控管制度並完整記錄,以備查核。
8.建立資訊緊急處理機制與災營運持續演練計畫,並定期操演、測試紀錄。
9.遵循主管機各項作業規範及適時更新相關資訊法規以符合法令依據。

資安風險管理架構與執行策略

資安風險管理架構

本公司的資訊安全管理架構是使用美國國家標準與技術研究所(NIST)的網路安全框架(CSF),建構全面且有效的資訊安全風險管理架構。

資安管理採用NIST CSF 2.0版本,其中包括6個功能為「治理」、「識別」、「保護」、「偵測」、「回應」和「復原」,以及各自的資訊安全控制項,從而確保本公司在面對資安威脅時擁有全面的應對能力,下列概述本公司的控制作為:

  • 治理 (Govern):建立全集團的資訊安全風險管理政策,確保資訊安全的控制措施符合法規標準,並建立明確的指導方針,以引導組織內部在資訊安全方面的作業。
  • 識別 (Identify): 透過確認資訊資產、資安風險評估和企業營運環境分析,以確保深入理解本公司所面臨的資安挑戰。
  • 保護 (Protect): 本公司實施適當的資訊安全政策、程序和技術措施,希望以有限的資源發揮最大綜效,而減少資訊資產的資安風險。
  • 偵測 (Detect): 建立適當的監控系統,確保能及早發現任何可能的資安事件,以便迅速應對。
  • 回應 (Respond): 建立資安事故回應團隊,在發生安全事件時,擁有迅速應對資安事件的機制,將可能的損失最小化。
  • 復原 (Recover): 制定全面的營運持續及復原計畫,確保業務能夠在最短時間內回復正常運作。

資安風險管理執行策略

本公司的資訊安全風險管理的執行策略是建立在三道防線上,以確保全面性的資安保護:

第一道防線:資訊單位及內部單位
在這一層,資訊單位和內部單位共同負責資訊安全的執行。他們的權責包括確保資安政策的全面執行和資安作業的正確實施。

第二道防線:資安單位
由資安單位負責,其權責涵蓋制定資安程序與管理,以及督促整體資安風險管理的實施。這一層確保資安程序的制定和管理受到適當的關注,同時監控並促進資安風險管理的實施。

第三道防線:稽核單位
由稽核單位負責,其權責包括確認資安風險控管的有效性以及內控稽核資安作為的合規性。這一層確保資安風險控管的有效性,同時對內部資安作為進行稽核,以確保合規性和效率。

資安管理運作情形

員工資安教育訓練

2023年12月11日越南VPIC1針對各部門越南籍資安負責人進行ISO27001:2022資訊安全管理系統教育訓練,共計59位人員參加。

加入外部資安及情資聯盟

本公司自2023年11月及12月陸續加入台灣及越南的資安情資單位,並定期接收外部資安情資如:產品漏洞、駭客組織攻擊情報、集團網域內之資安攻擊偵測等情資,藉由外部聯盟的力量強化集團資安情資來源,以利資安人員能夠更全面性的保障集團的資訊資產、網路安全、生產安全及資訊安全。

定期發送資安月刊

本公司自2023年11月起,開始對高層管理層、各經理、副理人員寄送資安月刊,月刊內容涵蓋:近期資安新聞、值得關注資安新聞或議題和資安通識等,以期望提供集團管理層人員之資安意識。