資通安全風險管理架構
1.資訊安全風險管理架構:
1.1由總經理室所轄之資訊室負責統籌資訊安全及相關事宜,並由稽核室擬定相關內部控制程序管理及定期進行內部稽核。
1.2資訊主管委由公司治理主管每年定期向董事會報告資訊安全風險管理執行情形。
1.3資訊室之組織架構考量公司規模及營運狀況,目前編制為資安主管1人,資安人員1人。
2.資訊安全管理政策:111年7月3日改版,請參閱如下:附件:資訊安全管理政策。
3.具體管理方案:
3.1為確保公司資訊安全,資訊室於HiNet網路端向中華電信申租入侵防護服務,阻絕網路型病毒及入侵攻擊,再透過邊際防火牆的建置,進一步阻擋病毒及入侵攻擊於公司內部網路之前。於內部網路增設一部內部防火牆,增加伺服器的保護。於用戶端部分,透過Windows Update Services Server,自動將Windows Update更新派送至用戶端,修補用戶端Windows漏洞,防止病毒與駭客透過Windows漏洞,進行攻擊。另外,除了安裝Symantec企業級防毒軟體之外,也安裝Palo Alto XDR Endpoint Protection,加強用戶端的防護。不定期透過資安範例,向同仁宣導,加強同仁的資安意識,減少資安事件發生。
3.2資訊室評估是否投保資安險,降低若是發生重大資安事件所產生的營運損失。
3.3其餘具體措施請參閱如下:附件:資訊安全管理政策。
4.投入資通安全管理之資源:
4.1中華電信入侵防護服務
4.2建置邊際和內部防火牆
4.3建置log server 記錄公司內外網路活動。
4.4採購防毒軟體(Symamtec Endpoint Protection )
4.5採購端點防護軟體(Palo Alto XDR)
4.6參加台灣電腦網路危機處理暨協調中心(TWCERT/CC)會員
附件: 資訊安全管理政策
壹、說明
旭富製藥科技股份有限公司(以下簡稱本公司)為強化資訊安全管理,確保本公司軟硬體及網路管理之安全,以建立可信賴之各項資通訊系統,進而提升從事中間體、原料藥及特用化學品之研發、生產及行銷等相關作業之資訊安全及服務品質,衡酌本公司之業務需求,訂定資訊安全管理政策。貳、目的
本公司為維護整體資訊安全,強化各項資訊資產之安全管理,確保其機密性、完整性及 可用性,避免於因內部或外部之蓄意或意外之各種威脅與破壞,而導致業務資訊遭受竄改、揭露、破壞或遺失等風險。
參、適用範圍
本政策適用於本公司所有資通訊系統及其使用者。資訊使用者係包含正式員工、聘僱人員、業務維運之相關人員、使用資訊資源之外部單位、服務提供廠商、委外廠商及其他經授權使用人員。
肆、定義
資訊安全之基本要求大致可歸納為以下三類:
1. 機密性-Confidentiality: 確保只有經授權的人才可以存取資訊。
2. 完整性-Integrity: 確保資訊與處理方法的正確性與完整性。
3. 可用性-Availability: 確保經授權的使用者在需要時可以取得資訊及相關服務。 除上述三項基本要求外,依據各項 業務之特性須符合下列各項要求,
茲說明如下:
1. 認證性-Authenticity: 確保使用者登入時有適當的驗證程序。
2. 可歸責性-Accountability: 確保使用者執行任何動作均有適當的軌跡可追蹤至執行者。
3. 不可否認性-Non-repudiation: 確保使用者無法否認於系統上完成的作業。
4. 可靠性-Reliability: 確保作業執行皆有一致結果。
伍、權責說明
1. 由總經理所轄之資訊室負責統籌本公司資訊安全及相關事項推動,稽核室擬定相關內部控制程序定期執行稽核工作。
2. 本公司以及往來機關、廠商等相關人員均應遵守本政策。
陸、資訊安全管理目標
本公司將資訊安全管理目標分為定性與定量兩類:
(一)、定性化指標
1. 加強內部控制,防止未經授權之不當存取,確保本公司業務相關資訊之機密性。
2. 確保本公司業務相關資訊設備之可用性,提供研發、生產及行銷等業務運作之所需。
3. 確保資訊不會在傳遞過程中,或因無意間的行為透露給未經授權的第三者,以確保本公司業務相關資訊之正確及完整,提高作業效能與品質。
(二)定量化指標
1. 每年以無任何資安事件為管理目標。
2. 年至少執行一次重要系統備份資料還原演練。
3. 確保重要機敏資訊不外洩及妥善備份,內部稽核每年進行一次查核。
柒、資訊安全責任
一、高階主管應積極參與資訊安全管理運作活動,提供對資訊安全管理制度之支持。二、本公司總經理所轄之資訊室負責資訊安全管理之運作,由稽核室依相關法令、政策要求辦理內部稽核以確認制度落實及有效性。
三、應定期檢視與討論內外部資訊安全相議題、利害相關團體要求與其他組織資訊安全運作活動,以強化資訊安全防護能力
四、資訊室應定期提供資訊安全宣導或訓練課程,提昇人員資訊安全認知。
五、應確保所有資訊安全事件或可疑之安全弱點,均依循適當之通報機制向上反應,並予以適當調查及處理。