資訊安全
資訊安全管理為公司治理的重要風險之一,為達成對客戶、供應商與員工之資訊保護責任,上銀科技多年來透過建置各項資訊安全制度與工具來達成此一目標。為了讓資訊安全管理更有系統性,並透過外部第三方驗證來確認運作成效,本公司已於2022年中啟動ISO 27001:2013資訊安全管理系統制定與導入專案。上銀於2022年底成立資訊安全委員會(簡稱資安委員會),並公告資訊安全管理政策聲明,這些工作推展代表管理階層的決心以及推動資訊安全的支持,讓所有員工瞭解資訊安全之重要性。
資安管理政策聲明
(1) 成立適當組織,維持資訊安全管理體系維運之正常運作。
(2) 建立資訊資產監控及管控機制,所有人員(含正式員工或委外人員,如駐點廠商、兼職人員及顧問等)皆有責任及義務保護其所負責業務之相關資訊資產,確保本公司重要資訊資產之機密性、正確性及可用性。
(3) 員工之工作職掌應作適當區隔,並僅授予完成工作所需之必要權限與必要資訊。
(4) 人員錄用應進行必要之考核並簽署相關作業規範及參與資訊安全教育訓練,瞭解維護保障資訊安全為每位人員之義務以落實於日常工作中。
(5) 辦公室或資訊安全管制區域應落實門禁管控及物品攜出入規定。
(6) 應設置必要之安全設施以保護內外部網路,重要設備應建置適當之備援或監控機制,員工不得私自串接外部網路與公司內部網路。
(7) 員工個人電腦應安裝防毒軟體且定期更新病毒碼,並禁止使用未經授權之軟體。
(8) 員工應善盡個人持有之帳號、密碼與權限之保管與使用責任,且管理人員應定期清查覆核。
(9) 系統開發應於起始階段考量安控機制之布置,委外開發應強化對服務供應商控管及在服務合約中之明確描述資訊安全要求。
(10) 員工對於可能發生安全事件、安全弱點或違反安全政策與程序者,應隨時保持警戒,並依程序進行通報。
(11) 建立業務持續運作管理機制,定期測試演練,維持其適用性。
(12) 資訊安全措施應符合法律之規範與資安政策之要求;所有資訊安全規範或程序之建置及修改,須符合並遵循資訊安全管理制度之機制。
資訊安全管理策略
上銀科技成立資安督導專責組織,以資訊管理執行部門為基礎,由高階主管參與並督導,每年召開至少一次資安管理審查會議,向董事長、總經理及其他資安委員會成員報告資安管理工作執行狀況。在組織橫向的整合上,將各部門理級主管納入資安督導專責組織之編組,進而落實資安管理。
(1) 組織賦責:由總經理擔任資安委員會主任委員,下轄資訊處(分為風險管理組等5個組別)、稽核室及各部門理級主管,共同制定資安目標與資安發展策略,統籌管理資安事宜。
(2) 高階參與:由董事長佈達公司資訊安全目標及政策,並透過績效考核制度參與督導資安目標之達成狀況,由上而下推動資安制度之制定及執行。
(3) 落實推動:將所有部門主管納入資訊安全委員會,共同推動與管理資安事務,達成全體員工認同資安之必要性與重要性,落實執行資安控制措施。
(4) 制度文化:導入ISO 27001:2013資安管理系統,以PDCA的管理手法持續不斷的改善現行資安管理措施,讓資訊安全成為企業文化的DNA。
將資安融入企業文化
為落實資訊安全目標及政策,上銀科技透過教育訓練的方式,對全體系統使用員工進行資安認知訓練,形塑為企業文化之一,更進一步對系統管理人員實施進階訓練。
(1) 多重管道宣達資安訊息
① 新進員工教育訓練內容包含資安認知與一般資安管理原則,讓員工入職即烙印資安之觀念與態度。
② 透過建置於各工作場域之出勤打卡KIOSK 設備,持續性播放資安宣導訊息。
③ 員工每次登入電腦時,強制跳出資訊保護、智慧財產權以及基本系統資安管理原則等資訊之閱讀視窗,讓員工對於資安管理要求習以為常。
④ 對於違反資安規定或資訊保護工作規則與公告之員工,依安檢違規通報單或資安事件通報單之內容視情節輕重予以懲處,證明公司對於維護資訊安全之決心。
(2) 演練驗證資安防護程度
① 委外進行社交工程攻擊演練,實際驗收教育訓練對員工資安意識與認知行為上達成之效用並進行檢討改善。
② 指標性工控產品參加資策會工控產品資安評測活動,在產品研發上驗證資安之要求。
(3) 導入國際資安標準
核心系統導入ISO 27001:2013管理系統,將既有資安作業與流程及表單系統性整合,已於2023年3月通過稽核與推薦取得證書。
資訊安全管制措施
2022年資安管制措施除維持既有系統工具外,額外訂閱國際Gartner評比第1名之MDR威脅偵測與應變服務,提供全天候專人監控系統活動,加強伺服器及端點之保護,若偵測到威脅時由系統及專人第一時間介入反應,做到最佳的被動防禦。
新型態資安威脅之因應
近年來加密勒索之資安威脅逐年增加,如何在最短的時間內控制風險及恢復營運,是資安管理上重要課題,我們依風險分別執行以下措施:
應用程式系統資安持續改善
因核心資訊應用程式系統多為上銀科技自行開發,持續進行資安功能改善才能達成組織之資安目標與策略。2022年度我們以外部系統防護、技術風險改善、系統權限管控、強化識別追蹤、軟體開發保護、資料安全防護、實體檔案防護及驗證機制優化等八大面向,完成92件應用程式資安改善。