资通安全管理

華新科技股份有限公司

资通安全管理政策

华新科技充分了解企业对于客户、股东与员工的承诺与责任,因此,明定资通安全策略与管理规范,严格控管公司的营业机密以及未经公开揭露的机密资讯,包括专利、制程、配方及其他智慧财产权等,以确保客户、公司、股东、供应商与员工的最佳利益。

公司的资通安全管理政策为:

  1. 提升安全共识
  2. 重视存取控制
  3. 健全资料保护
  4. 业务营运持续

公司的资通安全管理目标为:

  1. 办理教育训练,提升员工资安意识
  2. 定期权限审查,落实网路隔离机制
  3. 完善备分作业,强化资料之可用性
  4. 落实演练计画,确保业务营运水准

民国114年度之资安管理审查已于10月20日由资安管理委员会完成,完整的资通安全管理报告包含资通安全政策、与风险管理架构已于10月30日向董事会报告。

资通安全管理架构与做法

  • 为有效管理资通安全风险,华新公司于民国107年即成立资讯安全委员会,由资讯长担任召集人,各事业部最高主管单任委员,下辖资讯安全稽核小组与执行秘书(如图一),负责资讯安全的执行与重大事件发生时的紧急应变处理。
  • 依照上市上柜公司资通安全管控指引规定,目前已指派资讯主管乙名,与专业资讯人员数名,负责订定资通安全政策、规划暨执行资通安全作业、确保资通政策之落实与处理紧急资通安全事件,所有相关人员每年都会接受资通安全之专业课程训练。
  • 资通安全组织运作分别依照制定政策、推动执行、风险评估与风险改善(Plan-Do-Check-Act, PDCA)的循环进行管理(如图二),确保资通安全目标之达成,同时也对风险持续控制,对于弱点进行不断的改善。
華新科技股份有限公司

图一、资通安全组织

華新科技股份有限公司

图二、资通安全管理循环

资通安全的投入与成果

为加强资安情资掌握能力与资安事件应变能力,华新公司已加入台湾电脑网路危机处理暨协调中心(TWCERT/CC)与科学园区资安资讯分享与分析中心,透过加入联防组织,来完善安全防护计画,搭配熟练的紧急应变程序,才能妥善处理突发的资安事件。

华新公司明订资通安全管理规范与标准,并由资安人员进行规范的落实与实践,并持续进行管理制度与技术的优化,以达到资通安全管理目标。民国114年并无发生重大资安事件,共执行8次的核心系统与设备的灾难复原演练、624人次(训练时数共计1872小时)参与个资保护及资安相关训练课程与政策宣导、619人次的社交工程演练,并加强管理海外厂区的通讯软体与网路架构,积极投入人力与物力以提升资安防护力。

资讯安全管理系统认证

华新公司于民国107年开始建立资讯安全管理系统,并取得ISO27001的认证,每年皆定期审查换证,于民国112年11月7日取得当年度的重审换证,所有的作业程序皆符合国际认可的资讯安全管理制度。