請選擇

資訊安全風險管理

資通安全風險管理架構

茂達電子為執行企業資通安全組織訂定的資安策略，確保內部遵循資安相關準則、程序與法規，由總經理擔任組織最高主管，執行副總擔任管理代表，並由資訊管理部負責統籌並執行資通安全政策，宣導資通安全訊息，提升員工資安意識，蒐集及改進組織資通安全管理系統績效及有效性之技術、產品或程序等。由稽核室每年就內部控制制度進行資通安全查核，評估公司資通作業內部控制之有效性並每年定期向董事會報告。

資通安全政策

企業資通安全管理策略

維持各資通系統永續運作。
維護實體環境安全。
防止駭客、各種病毒入侵及破壞。
防止機敏資料外洩。
防止人為意圖不當及不法使用。

企業資通安全風險管理與持續改善架構

組織運作模式-採 PDCA（Plan-Do-Check-Act）循環式管理，確保目標之達成且持續改善。

具體管理方案

項目	具體管理措施
實體安全	實施機房門禁管制。雙迴路UPS電源設置及保護以防止斷電或其他電力不正常導致的傷害。
裝置安全	依電腦類型建置端點防毒措施。強化惡意軟體行為偵測。 URL過濾防護。
網路安全	強化網路防火牆與網路控管，防止病毒跨實驗區域及辦公區域擴散。導入ATP進階威脅防護系統。自動化使用者威脅報告。
雲端防護	URL過濾，防範不明惡意軟體與病毒的附件。郵件詐騙及釣魚信件防護。
資料安全	導入異地備份系統，每日抄寫完整資料於異地並自動化產生報告。導入資料外洩防護系統，預防資料外洩及自動化警示功能。
教育宣導	加強員工對郵件及社交工程攻擊的警覺性，執行釣魚信件防禦偵測。定期宣導資安訊息，提升資安意識。

投入資通安全管理之資源

企業資訊安全措施推動執行成果。

政策	修訂資通安全守則。修訂視訊會議及遠距辦公規範。
訓練宣導	每季案例分享及每月新人資訊安全通識訓練；112年已進行4次案例宣導及12次新人通識訓練。執行社交工程演練，提升釣魚信件警覺性；112年進行2次社交工程演練，並對點擊員工進行教育訓練及測驗。
系統	強化異地備份系統，由磁帶備份系統升級為磁碟複寫儲存系統。導入ATP進階威脅防護系統。強化垃圾郵件過濾系統，URL連結過濾，附件掃描，郵件詐騙及釣魚信件防護。

資安風險與因應措施

為確實強化資安防護，辨識資安風險項目，並提出因應措施且定期檢視成效。

辨識資安風險	影響評估	因應措施	成效管理
個人電腦帳號密碼保全	財務業務機密被有心人士竊取。	個人電腦開機密碼定期修改。	需定期修改密碼及符合複雜性原則。
電腦病毒防護	電腦病毒，勒索病毒，木馬程式，挖礦程式。	加強端點防護,導入行為監控，應用程式控制防護系統。	依各端點類型強化系統及資料的安全。
網路管理安全	網路穩定，蓄意攻擊，流量隔離。	定期更新韌體,導入入侵防護(IPS)系統。	發現網路異常封包或行為時，系統發送警訊通報，並立即採取必要的處置措施。
資訊安全	資訊系統未經授權之存取。	因應職務需求，建立申請授權流程。	電子化表單提出申請，經主管及權責單位同意後開放。
上網行為的安全	惡意軟體、網路釣魚、殭屍電腦的命令與控制伺服器等不當傳輸行為。	導入進階威脅防護系統，每年定期辦理電子郵件社交工程演練。	主動阻擋零時差漏洞攻擊及警示不當傳輸行為。
資訊系統服務運作	駭客可能試圖將電腦病毒、破壞性軟體或勒索軟體侵入公司網路系統，以干擾公司的營運。	訂定核心業務之復原時間目標(RTO)及資料復原時間點目標(RPO)。	設置適當之備份機制及備援計畫，並定期測試復原資料之正確性。