資通安全風險管理架構
宏全公司為提升資訊安全管理,設立資訊安全專責主管及人員,資訊處下轄資安小組,統籌資訊安全相關政策制定、執行、風險管理與遵循度查核。由資訊安全最高主管每年向董事會報告資安管理成效、資安相關議題及方向。2023年3月21日內部公告「宏全國際資訊安全政策」,2024年資安執行成效及2025年目標,已於2025年5月9日向董事會報告。
資通安全政策
“維護公司資通安全,做好自我管理,具備資安意識。”
資訊安全小組為有效落實資安管理,透過涵蓋台灣廠區與海外子公司「資訊保護工作推動團隊」,定期召開例行會議,依據規畫、執行、查核與行動(PDCA)的管理循環機制,檢視資訊安全政策適用性與保護措施。
| Plan | 參考相關資安制度,訂定資安政策與管理辦法。 |
| Do | 多層次資安防護與管理(實體安全、網路安全、裝置安全、權限管理、資安監控與維運)。 |
| Check | 資安持續監控。 |
| Action | 資安措施檢討與改善、新資安防護工具導入、資訊安全教育訓練與宣導。 |
具體管理方案
| 方案名稱 | 方案說明 | 執行成果 |
|---|---|---|
| 社交工程演練及資訊安全宣導 | 定期進行社交工程演練及資訊安全宣導。 | 2024年進行社交工程演練2次,資訊安全宣導5次,訓練培養同仁良好資訊安全意識。 |
| 建置多層次資安防禦 | 閘道端設置新世代防火牆、入侵偵測防禦系統及郵件安全過濾防禦設備,重要主機佈署含有入侵防禦的防毒防駭系統,用戶端電腦佈署防毒軟體。 | 保護主機、網路及電腦安全,強化縱深防禦能力,降低被攻擊機會。 |
| 弱點掃描及系統更新 | 主機及網路定期弱點掃描,每月Patch更新系統,對已公開之系統弱點進行定期弱點掃描與修復。 | 2024年進行2次弱點掃描,每月Patch更新Windows作業系統,加強主機系統及軟體弱點修補,降低駭客利用弱點攻擊機會。 |
| 資訊安全監控 | 資安設備及防毒軟體設定異常告警。資安人員每日檢視資安設備及防毒系統日誌。 | 資安人員即時發現異常或攻擊行為,立即進行處理,防止資安問題擴大。 |
| 災害還原演練 | 重要核心系統,定期進行異機還原及備份資料還原測試。 | 2024年進行2次災害還原演練,確認備份資料有效性。 |
投入資通安全管理之資源
2024年企業資訊安全措施推動執行成果:
(1)核心系統進行2次災害還原演練。
(2)電子郵件社交工程演練2次。
(3)資訊安全宣導5次。
(4)主機及網路弱點掃描及修正2次。
(5)影響營運重大資安事件0次。
公司雖暫無購買資安險,但透過資安小組運作及資安政策的執行,仍可提供安全的資安環境,保障公司各項資訊安全。
