情報セキュリティ管理

華新科技股份有限公司

情報セキュリティ管理ポリシー

ウォルシン・テクノロジーは、顧客、株主、従業員に対する責任と義務を認識しています。そのため、サイバーセキュリティに関する方針と管理規則を明確に定めています。顧客、企業、株主、取引先、従業員の利益を最大限に守るため、特許、製造プロセス、レシピ、知的財産権を含む企業秘密および非公開の機密情報を厳重に保護しています。

ウォルシン・テクノロジーの情報セキュリティポリシーは以下のとおりです。

  1. 情報セキュリティへの意識を高める
  2. データアクセス制御を重視する
  3. データセキュリティ保護を強化する
  4. 事業継続性を確保する

ウォルシン・テクノロジーのサイバーセキュリティ目標は以下のとおりです。

  1. 従業員の情報セキュリティ意識を高めるため、教育研修を実施する。
  2. 定期的なアクセス権限の見直しを実施し、ネットワークのセグメンテーションを実現する
  3. バックアップルーチンジョブを実行し、データ可用性を向上させる。
  4. 事業継続性を確保するために、災害復旧訓練を実施する。

2023年10月3日、サイバーセキュリティ委員会により年次サイバーセキュリティ管理レビュー会議が開催されました。サイバーセキュリティ管理方針およびリスク管理アーキテクチャを含む年次サイバーセキュリティ管理報告書は、2023年10月31日に取締役会に報告されました。改訂されたコンピュータ運用に関する内部統制規定は、同日、取締役会により承認されました。

サイバーセキュリティ管理のアーキテクチャと実装

  • サイバーセキュリティの保護と管理を強化するため、ウォルシン・テクノロジーはサイバーセキュリティポリシーの計画、実行、管理を指導する「サイバーセキュリティ委員会」を組織しました。図1に示すように、委員会は最高情報責任者によって招集され、メンバーはウォルシン・テクノロジーの各機能部門の責任者で構成されています。ITスーパーバイザーが事務局長を務めています。サイバーセキュリティ管理、緊急対応、サイバーセキュリティ監査タスクフォースが設置され、サイバーセキュリティ関連のタスクやプロジェクトの開始、実行、監視、評価を行っています。委員会の各メンバーは、毎年専門的なサイバーセキュリティ研修コースを受講する必要があります。
  • 上場企業および店頭取引企業向けのサイバーセキュリティ管理・統制ガイドラインに基づき、1名の監督者と数名の専門技術者が、サイバーセキュリティポリシーの策定、関連業務の計画・実行、サイバーセキュリティポリシーの実現確保、および緊急時のセキュリティ問題への対応を担当する体制を整えています。各担当者は、毎年サイバーセキュリティ関連の研修を受講する必要があります。
  • サイバーセキュリティ組織の運用は、情報セキュリティの目標が継続的に達成され、リスクが適切に管理され、脆弱性が修正されていることを保証するために、計画・実行・評価・改善(PDCA)サイクル(図2参照)に従います。
華新科技股份有限公司

図1 サイバーセキュリティ組織

華新科技股份有限公司

図2 サイバーセキュリティ管理サイクル

サイバーセキュリティ管理への投資と成果

潜在的なセキュリティ脅威への対応能力とセキュリティインシデントへの対応能力を強化するため、ウォルシン・テクノロジーは台湾コンピュータネットワーク危機管理調整センター(TWCERT/CC)およびサイエンスパークの情報セキュリティ情報共有分析センターに加盟しました。

共同防衛組織への参加を通じて、情報共有によるセキュリティ防御計画の強化を図ります。確固たる緊急対応手順により、情報セキュリティインシデントに適切に対応することが可能です。

ウォルシン・テクノロジーは、サイバーセキュリティポリシーと管理規則を明確に定義しました。サイバーセキュリティ管理の目的を強化するため、セキュリティ管理チームは、ポリシーと規則を徹底的に実施するとともに、管理システムとテクノロジーを継続的に最適化する責任を担っています。2023年には、重大なサイバーセキュリティインシデントは発生しませんでした。コアシステムと機器に対する災害復旧訓練を合計6回、従業員セキュリティ教育研修とポリシーの周知徹底を10回実施し、616名の従業員がソーシャルエンジニアリング訓練に参加しました。今年は、海外工場におけるソーシャルコミュニケーションソフトウェアの管理とネットワークアーキテクチャの最適化にも注力しました。サイバーセキュリティ管理の強化に、多くのリソースと人材を積極的に投入しました。

サイバーセキュリティマネジメントシステムの認証

ウォルシン・テクノロジーは2018年にサイバーセキュリティマネジメントシステムの構築を開始し、同年ISO27001認証を取得しました。当社は外部認証機関による定期的な審査を受け、ISO27001認証を毎年更新しています。2023年11月7日には、更新後の認証を取得しました。すべての業務プロセスと基準は、国際的なサイバーセキュリティマネジメントシステムに準拠しています。