資訊安全管理

本集團之資訊安全政策

資訊安全與隱私的控管已然成為日常業務執行中不可或缺的一部份,本集團各子公司 皆制定資訊安全政策保護客戶的隱私,為防止未經授權使用電腦系統,依據「個人資 料保護管理辦法」,各部門使用者必須申請使用者代碼與應用程式,經該單位主管、 資訊單位主管核准後,以取得正式使用電腦系統之管道。針對非相關作業人員,將無 法獲取客戶相關資料,確保客戶的隱私受到保護。

本集團母公司已設置資安管理專責部門,負責集團之資訊安全維運、資訊安全架構、 資訊安全政策及其他有關資訊安全之專案及查核作業,以利帶領各子公司共同實現富采資訊安全之目標。

 

資安管理架構

欲確保與資安相關之各項執行策略、目標與績效檢核,本集團特別成立「資訊安全委 員會」,第一層為董事會,負責裁決資安重大議案;第二層為企業永續暨風險管理委員 會 ( 主席為集團董事長 ),負責決定集團資安方向與目標,第三層為資安委員會 ( 主席 為資安長 ),負責推動集團目標與重點方案。第四層為各家公司的資安部門,負責執 行各項目標與專案。每年兩次定期召開資安管審會議,向各家總經理報告資安執行狀 況及決議事項。

為讓資訊安全的理念深植全公司,我們更設有「資安執行小組」,並透過建立事故管 理的定期演練及資訊分級制度,每年針對勒索軟體的情境進行推演,強化同仁在事發 當下對於流程工作的掌握,以及加快時發當下的決策和通報速度。

 

 

 

資訊保護流程與驗證

為確保資訊安全、達成客戶期待之品質並同時保護隱私,本集團依循國際 ISO 27001 標準的要求,訂定公司資訊保護管理流程。富采集團台灣全廠區於 2023 年取得 ISO 27001 資安認證,達到符合國際標準的資安管理作業程序,希望藉由通過國際驗證, 降低企業資安威脅,建立最高規格的機密資訊保護服務,以保護客戶的智慧財產權、 製程參數等機密資料。

為降低風險發生機率,並減少其影響衝擊,本集團積極導入管理系統作為風險因應對 策,除了透過導入第三方資安風險評比外,每年度皆會進行例行性資產盤點、帳號清 查與內部稽核,並與總經理及相關單位主管召開資安管理審查會議,富采及台灣各子 公司亦額外進行每年一次的業務持續演練。目前集團各子公司於第三方風險評比等級 皆為 A 級,高於產業平均。

 

資訊安全驗證架構

資安事件通報及事故管理

富采制定事故應變機制,以準備、防護、偵測、遏止、根除、復原、檢討,7 大流程 進 行 處 理。在 準 備 層 面,全 面 導 入 端 點 偵 測 及 回 應 (Endpoint detection and response, EDR) 工具,以及第三方監控機制,即時偵測應變。除了日常備份工作亦 保存離線備份,每年依應變計畫執行事故應變演練,在防護層面,透過弱點掃描以及 第三方風險監控平台,掌握漏洞風險狀態,每週會議進行修補進度匯報,管理者針 對備份進行還原測試。偵測到事故時,進行事故分級的判斷及通報,首要目標進行 遏止,進行斷網等隔離措施,以降低事故所帶來衝擊,並蒐集與妥善保存數位證據, 以利根因調查後根除威脅再發。