資通安全組織架構
為提升集團安全管理了成立集團資通安全部門,財務暨資訊總經理是最高負為提升集團安全管理了成立集團資通安全部門,財務暨資訊總經理是最高負責人,資通安全部門負責資通安全政策推動及資源調度事務,由專責資安同仁,確保資通安全各項管理規範與管控措施能有效持續地執行實施。
致伸集團資通安全部門組織架構
致伸集團資通安全管理與持續改善架構
資通安全管理機制
對於所有客戶隱私與機密資訊是以需者方知(Need-to-know)為基礎,並從人(People)、流程(Process)與技術(Technology)三要素著手執行相關的保護機制與措施,以確保客戶隱私及機密資訊的安全,摘要如下:
資通安全管理作為
- 為了符合內部資安規範與外部監管單位的要求,集團已建立資訊安全管理系為了符合內部資安規範與外部監管單位的要求,集團已建立資訊安全管理系統及資通安全管理程序且已訂定9項資通安全目標,每月統計達成結果並保留相關記錄。
- 為強化資安防護能力,每年請廠商執行駭客滲透測試,以各式駭客手法分析可能遭遇駭客攻擊的漏洞與情境,針對檢測結果中的高風險項目均會進行改善,透過持續提升資安防護品質。
- 為提升應用系統安全與降低風險,每年定期執行系統設備弱點掃描並對中高風險的弱點進行修補,並已導入電腦資產管理系統、用戶端特權帳號管理、行動裝置安全防護、雙因子認證(MFA)強化機制及特權帳號集中管理機制等,降低機密或敏感性資料異常事件的發生,持續針對惡意或垃圾郵件過濾與透過資安事件管理系統(SIEM)日誌監控並導入資料外洩保護機制(DLP),以期達成異常即時監控,強化資通安全管理機制。
- 針對公司營運相關重要系統,定期執行資料備份及同地備援機制,強化企業資安風險對應靭性。
- 定期安排一年兩次的資安意識教育訓練及一年6次社交工程演練,經由電子郵件、即時通訊和數位電視等方式,進行資通安全防護和時事案例宣導,強化集團員工的資安意識。此外,已於2018年6月開始投保Cyber Risk Insurance /Commercial Crime Insurance保險,以降低業務中斷所造成的風險損失及求償責任,期望成為於資安治理成熟度表現傑出之企業。
- 致伸集團主要營運據點已取得「ISO 27001:2013」國際標準證書,於2023年新增核心關鍵系統並順利通過SGS驗證,已規劃2024年升級「ISO 27001:2022」新版標準與持續擴大驗證範圍,依序為研發流程、工程和製造等公司主要運營流程且每年通過第三方驗證公司的續審驗證。
資通安全管風險評鑑
致伸集團定期盤點資訊資產,更新資產清冊。並且每年評鑑與資訊資產相關的風險,管控高風險項目,以降低風險發生的可能性及產生的衝擊,確保本公司資通安全的長治久安。
致伸已建立全面的網路與電腦相關資安防護措施,但惡意的駭客亦能試圖將電腦病毒、破壞性軟體或勒索軟體導入公司的網路系統,以干擾公司的營運、對進行勒索,取得電腦系統控制權,或窺探機密資訊。這些攻擊可能導致公司因延誤或中斷訂單而需賠償客戶的損失;或需擔負龐大的費用實施補救和改進措施,以加強公司的網路安全系統。
為了預防及降低此類攻擊所造成的傷害,持續更新落實相關改進措施,例如:強化網路防火牆與網路控管;依電腦類型建置端點防毒措施;導入新技術加強資料保護及備份;加強釣魚郵件的偵測;並定期執行社交工程郵件測試及員工資安意識訓練。
資通安全內部查核
資通安全部門- 資安稽核小組依據風險性訂定評估項目,已於2023 年3 月29 日完成資通安全自行評估及檢核作業,並將評估結果及佐證資料,交稽核部覆核。稽核部每半年執行一次資訊循環查核,其中資通安全為必要查核項目,並定期至少每年一次將所有查核報告提交審計委員會及董事會。
產品研發與製造安全
公司研發與製造單位一直以來,依據集團資通安全政策及客戶要求與期望,持續進行研發與製造業務,藉由實體與電子等各項管控流程,保護產品機密資訊與製程技術,同時維持客戶要求與相關第三方認證資格。
致伸集團產品包含電腦周邊產品及非電腦週邊產品,若依產品資安風險特性進行區分,電聲產品、OEM品牌客戶產品、無線連接器產品等,基於客戶要求或資安風險考量,對於軟/ 韌體更新上線前安排程式碼審查或源代碼掃描等控制措施,進而降低資訊安全的風險。
致伸從研發階段至成品出貨階段,全程依據客戶要求之安全原則進行,如有任何與安全相關之疑慮,均立即處置矯正,在不影響製程與後續作業流程下,確保產品資訊安全無虞。此外,我們也相當注重產品出貨後之資訊安全,依據產品特性與客戶要求,並經由軟體測試或實體線路隔離等各設計預防措施,嚴格杜絕產品使用期間之可能發生的資安危害( 如惡意程式植入等),避免使用者資訊洩漏風險。
客戶隱私與個人資料保護
致伸集團遵循國內外個人資料保護法暨相關法令之規定,制定「隱私權政策」,其適用範圍包括:1. 客戶、供應商及承包商,2. 瀏覽官網之訪客或實地來訪之訪客,及3 . 求職者,以資通安全部作為個資保護管理專責單位,致伸科技及迪芬尼各設有1名專責人員,負責個資保護相關法令的制訂、相關申訴之受理、管理流程運作等。
同時,致伸集團致力保護客戶資訊安全,以維護客戶的權益。針對客戶隱私與機密資訊訂有管理政策及程序,以「最小權限」為原則,與客戶專案相關並接觸機密敏感資料才可以通過內部申請取得存取資訊的權限,並由集團資通安全部門定期審查資通安全相關程序文件,確保適時更新符合客戶需求及要求之資安管理強度。
致伸重視個資當事人對於其個人資料依法行使之權利,於公司網頁設置專責信箱,如接獲申訴或是發現個資侵害事件,將依適用對象之對應規範:「個人資料保護辦法」、「供應商行為準則」、「客戶資料保密協議」等,進行處理及相關懲處。2023年無侵犯個人資料,亦無侵犯客戶隱私( 包括投訴)等事件。