Menu

公司治理-资讯安全政策

一、目的

为强化牧德科技股份有限公司(以下简称「本公司」)信息安全管理,确保所属各项资产、信息的机密性、完整性及可用性,以符合相关法令、法规之要求,使其免于遭受内、外部蓄意或意外之威胁,订定本政策。

二、适用范围

(一)本政策适用范围为本公司全体同仁、委外服务厂商与访客等。

(二)信息安全管理范畴涵盖以下领域,避免因人为疏失、蓄意或天然灾害等因素,导致数据不当使用、泄漏、窜改、破坏等情事发生,对本公司造成各种可能之风险及危害,管理事项如下:

1. 信息安全政策订定与评估。

2. 信息安全组织建立及运作。

3. 信息资产分类分级与管制。

4. 信息安全风险管理。

5. 人员安全管理与教育训练。

6. 实体与环境安全。

7. 通讯与作业安全管理。

8. 访问控制安全。

9. 相关法规与施行单位政策之符合性。

三、目标

为维护本公司资产之机密性、完整性与可用性,并保障用户数据隐私之安全。藉由本公司全体同仁共同努力以达成下列目标:

(一)保护本公司研发、业务、生产、服务之信息安全,确保信息需经授权人员才可存取信息,以确保其机密性。

(二)保护本公司研发、业务、生产、服务之信息安全,避免未经授权的修改,以确保其正确性与完整性。

(三)确保本公司各项业务、服务等之执行,须符合相关法规之要求。

四、信息安全组织

本公司成立信息安全管理委员会,由信息部最高主管担任召集人,并由实际执行资安计划之网络服务成员共同组成。团队负责外部信息风险评估与资源导入协助、信息安全制度建置、资安督导稽核、持续强化资安方面观念。

五、资安对策

六、持续改善架构

运作模式采PDCA(Plan-Do-Check-Act)循环式管理,确保目标达成且持续改善。

七、信息安全的建置与执行状况

牧德科技是以研发为主的信息团队,故特别重视与维护研发的关键竞争能力,除了和许多其他公司都建置的防毒防骇的软硬件防护措施外。

截止至109年度已完成导入三层面信息安全建置,说明如下:

(一)数据加密管理:全公司的文件数据、图文件、软件程序皆进行数据加密管理,如有需要与客户,供货商相关的报告数据,则需进行申请与解密作业程序。外部客户与供货商才能读取该报告,达到业务活动进行与供货商提供相关服务。

(二)强化网络环境资安:目前高度资安区域的研发部门,是限定个人作业信息设备, 任何外部计算机与硬设备携入是限制联机牧德内部环境,且个人作业用计算机设备,也会因为不当作业使用遭到封锁使用。

(三)全公司管制使用USB:但销售与客户服务避免不了需要数据分析协助,信息部则在各楼层提供公用计算机扫毒后上传数据。

(四)资安结果查检接口化之仪表板管理平台建置。

近期各大厂遭受恶意软件与计算机病毒攻击状况复杂,信息安全的防护意识持续加强,透过一线资安厂商的训练与实时协助,减少牧德科技对客户与股东的承诺的风险、以及降低营运成果、财务、前景受到重大不利影响。

110年度执行目标:

(一)持续信息安全层面建置与改善。

(二)全公司防病毒软件更新与备份作业改善。

(三)定期安排内外部信息安全教育课程。

八、信息安全风险管理架构

本公司针对资安风险成立风险管理的委员会,由信息部最高主管担任召集人,并由实际执行资安计划之网络服务成员共同组成。团队负责信息安全制度建置、技术导入、资安督导稽核。

委员会针对资安与网络风险评估流程进行,以风险影响的等级与发生机率进行风险分析,并针对高风险环境与系统进行对应的管理机制,建立高可靠度架构、数据备份架构、异地备援架构进行建置。以降低资安事件影响。

委员会制订与定期检讨资安政策,包括资安事件通报与应变机制;另定期向董事会报告信息安全检查情形。

委员会近期评估报告为109年11 月27,信息安全风险评估项目: (一)外部资安防护设备、(二)端点资安管控、(三)文件安全加密检视、(四)网络服务活动检视、(五)异地备机备援机制。其中109年主要执行摘要如下:

1. 外部资安防护设备:升级网络防火墙设备,并导入自动统计分析管理战情信息平台。

2. 异地备机备援机制:ERP重要主机系统升级高可靠度搭配虚拟服务器架构、备份服务器升级改善执行。