資訊安全管理
Information Safety
資訊安全管理措施
華邦電子訂有「資訊安全政策」、「技術與機密資料管理辦法」,規範保護公司機密資訊,包含商業秘密、智慧財產,確保客戶隱私受到完善的保護,為了全面提升華邦的資訊安全管理制度,於2020 年申請ISO27001 資訊安全管理系統,並於2021 年2 月通過驗證。
| ISO 27001資訊安全管理系統 | ||||||
 |
華邦電子於2020 年依據ISO 27001 資訊安全管理系統管理架構,盤點各個單位的資訊資產進行風險評估、整合所有之內部控制制度及既有規範文件、建立完整的資安環境,符合所有規範要求,於2021 年2 月取得外部單位驗證,並持續追求資訊安全的三個最主要目標: | |||||
|
||||||
華邦依據「資訊安全政策」執行程序,由相關部門指派代表組成資訊安全組織,負責公司的資訊安全管制作業,包括研議、建置、推動與稽核。定期召開會議,針對資訊安全相關議題進行討論與決議,範圍涵蓋人力資源、實體安全、資訊與邏輯安全等面向;當有重大變革或資訊安全事件發生,將加開臨時會議。每年透過教育訓練與內部公告持續向同仁進行資訊安全相關的宣導與溝通,以落實資訊安全政策,並針對資料保護每半年進行一次演練,系統切換至備援系統後,進行存取測試。
此外,針對公司重要產品資訊安全需要,加強門禁管制與監控、資訊系統存取權限管理與存取紀錄保存與審查,嚴格管制人員進出與資料存取,避免公司資訊遭不當存取、竄改,並防範營業秘密與智慧財產遭竊或外洩。
資訊安全處理流程
|
|
|
|
2020 年資訊安全管理績效
| 資訊安全教育訓練 | 資訊安全受訓人數:2,667 人,完成率100% |
| 個人資料保護法受訓人數:2,531 人,完成率100% | |
| 資訊安全演練 | 社交工程教育訓練及測驗1 次 |
| FAB 病毒演練1 次 | |
| 弱點掃瞄1 次 |
| 通過高等級的資訊安全驗證 | |
| 2015 年11 月華邦電子TrustMETM 密孚記憶體產品與其相關作業環境通過國際安全組織Common Criteria EAL 5+ 高等級驗證。此代表華邦對於產品資訊安全的各項管控符合國際安全組織Common Criteria 要求,可生產符合國際標準可信賴之安全性產品並保護客戶資訊與資產。TrustMETM 密孚記憶體產品之國際安全組織CommonCriteria 驗證內容涵蓋範疇為「產品設計開發(Design & Development)、生產(Production) 以及運送過程(Delivery)」階段。2020 年竹北新大樓啟用,因COVID-19 改為遠端稽核(Remote Audit),順利通過,相關作業程序與環境均符合Common Criteria EAL 5+ 要求。 | |
供應商資安管理
華邦電子透過內部資安制度管理,針對供應商的隱私保護管理採用權限設定,並將實體文件存放於採購單位統一管理。另一方面對於外部供應商資安管理,皆於訂單上檢附資安條款,要求合作的供應商簽署,供應商需於年度稽核填寫資訊安全管理自評表,並由華邦資安部門審查內容,每兩年實地稽核供應商。2020 年於供應商大會請供應商經驗分享資安預防方法及互相交流資安管理經驗。
| 供應商資安條款簽訂 | |||||||
 |
|
||||||
客戶隱私保護
華邦電子嚴格控管客戶相關資訊,與客戶往來之文件、資料等商業資訊均由華邦內部高度防護系統所保存。對於內部相關人員作業權限之核准與開放,均依照相關作業規範及程序辦理。自2013年起,華邦同仁每年均須通過「資訊安全認知」課程訓練。為保護研發與生產資料的安全,竹北辦公大樓員工之個人手機需要註冊並安裝相機管理APP關閉相機,禁止於公司內拍照攝影;晶圓廠、測試廠出入口,安裝金屬偵測門,以管制資訊裝置進出產線;透過AI技術,以人臉辨識方式管理承攬商進出廠區,以確保公司達到保護客戶隱私及防範營業秘密與智慧財產權遭竊或外洩,2020年取得ISO 27001資訊安全管理系統,建立更完善的資訊安全防護制度。 歐盟《一般資料保護規範》(General Data Protection Regulation, GDPR)自2018年5月份生效,華邦電子已依據GDPR要求進行相關調整,修改公司網站並重新檢視網站會員資料 ,以符合GDPR規範