資訊安全
資安專職單位
2014年南茂設置「資訊安全管理委員會」,由總經理擔任主席,各事業單位一級主管為主要委員,委員會負責資訊安全政策之訂定、監督資訊安全計畫執行、資訊安全相關事項之管理審查及協調溝通,以確保資訊安全管理系統執行之有效性,及增進公司營運的資訊安全;每年固定召開一次年度管理審查會議。
2022年成立資訊安全室(簡稱資安室) 隸屬於資訊安全委員會,擬定專職人員從事資安相關工作,由資訊安全室專職人員負責資安事務,配置資安主管1員,專職資安人員2人,負責規劃公司資安系統與資安防護網防禦,並主動性採取預防與控制措施,把影響資安事件程度降至最低,確保維持組織營運並迅速恢復經營活動。
【風險管理】設施與實體管理
南茂持續強化備援系統、軟硬體能力升級、IT 系統營運持續計畫(BCP) 等,且於2024 年完成ISO 27001:2022 年版國際標準認證,提升組織的資安韌性,維持企業持續營運
1.強化資料備份還原機制
強化資料備援空間、資料同步,以最短時間恢復營運資料,如:全廠區含資料庫(DB) 及非資料庫(OA) 系統性升級。
2.資安健診
由局部性檢查→採全面性鑑別廠內資安風險與脆弱點,運用外部資安工具,檢視現行資安系統架構及防禦程度。
3. 3C管制措施
有效保護公司資訊安全管理,同仁應遵守3C管理機制,並依管制措施使用行動媒體。
4.身分鑑別機制
為確保遠距登錄之安全性,已建立身分鑑別機制(2FA,雙因子認證),以加強資料之安全。
5.資安法規遵循
(1)定期審查,2024年計有刑法修正條文、個人資料保護法、著作權法、營業秘密法、個人資料保護法施行細則、臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序與上市上櫃公司資通安全管控指引等七項法規。
(2)「上市上櫃公司資通安全管控指引」納入執行作業,預計於2025年11月進行第三方認證,並維持證書有效性
6.模擬資安危機處理與災難復原演練
為提高資訊人員在資安事件發生時即時採取應變措施之能力,避免資安危害,2024年共進行43場次,完成率達100%。
7.認證ISO 27001
已完成ISO 27001:2022年版國際標準認證,資安韌性更升級,導入專業顧問進行輔導,進行ISMS內部規範修正,以符合ISO 27001:2022年新版規範,於2024年11月取得證書。
員工資通安全教育訓練
根據2023企業CIO大調查,病毒和垃圾郵件(60.9%)、社交工程詐欺(29.5%) 是最嚴重安全威脅;有鑒於此,2024年規劃4大面向的資安教育訓練與演練。
◆ 新進人員資安教育訓練
頻率 : 依員工報到時程
內容 : 說明資安政策、公司資安規定、資安獎懲、3C管制作法
◆ 社交工程宣導
頻率 : 每月至少1次
內容 : 宣導常用的社交攻擊手法
◆ 員工資安教育訓練
頻率 : 每年1次
內容 : 稽核非法軟體使用、勒索軟體事件預防措施宣導、郵件釣魚詐騙信件案例宣導、USB碟使用管制規範
◆ 郵件釣魚演練
頻率 : 每2個月1次
內容 : 模擬駭客郵寄特定主題郵件,透過統計點擊率,測試員工資安意識
【預防管理】資訊資產管理
南茂依資訊資產價值(機密性、完整性與可用性)及對組織運作的關鍵程度,建立資訊資產清冊,並加以分類管理,及建立資訊資產風險評鑑之標準,以鑑別資訊資產弱點與威脅所導致之資訊安全風險,並依據風險評鑑結果採取對策或控制措施,以降低資訊資產遭受損害的風險。
每年度執行資訊資產資訊安全風險評鑑作業,依照資產價值、威脅、脆弱點與衝擊,列出「資安資產風險評估表」,並擬訂「風險改善計畫」,針對高風險值之資訊資產,訂定相關措施,以降低資產高風險,避免影響資訊系統的持續營運。
資訊資產管理:
1. 新購置之硬體類資產由申請者進行測試及驗收
2. 建立資訊資產清冊系統與資訊資產風險評鑑
3. 硬體類資訊資產變更/新增安裝上線前先進行測試,確保功能符合要求及相容現有系統
4. 重要資訊資產變更時,應考量可用性及效能,及各項資源效能符合營運需求,並預估未來營運效能需求,容量管理可包含硬碟容量、CPU 效能、網路頻寬等。
【預防管理】資安事件通報及事故管理
南茂加入台灣電腦網路危機處理暨協調中心(TWCERT/CC),協助公司在資安異常發生時之諮詢及相關服務,以執行適切的處理與矯正,並預防資安異常問題發生,進而提升資安水準。此外,南茂為確保資訊安全事件發生時,能迅速依程序進行通報,並採取必要之應變措施與建立事件學習機制,依照資安事件管理程序,進行事件與事故管理、異常原因分析、矯正流程與預防措施。