信息安全管理
Information Safety
信息安全管理措施
华邦订有「信息安全政策」、「技术与机密数据管理办法」,规范保护公司机密信息,包含商业秘密、智慧财产,确保客户隐私受到完善的保护,为了全面提升华邦的信息安全管理制度,于2020 年申请ISO 27001信息安全管理系统,并于2021 年2 月通过验证,涵盖中科厂、竹北大楼的信息机房、信息系统及应用系统,并预计在 2022 年,进行高雄厂的延伸验证。此外,华邦也于2021 年导入云端信息安全检测工具(Security Score Card, SSC),针对华邦所有提供对外的服务,进行非侵入式的实时弱点侦测,于2021 年4 月初步导入至2021 年底,通过不断的修正改善,分数由71 分(C 级) 上升至96 分(A 级),也同步导入其他相关信息安全应用,全面提升华邦的信息安全完整度。
华邦依据「信息安全政策」执行程序,由相关部门指派代表组成信息安全组织,负责公司的信息安全管制作业,包括研议、建置、推动与稽核。定期召开会议,针对信息安全相关议题进行讨论与决议,范围涵盖人力资源、实体安全、信息与逻辑安全等面向;当有重大变革或信息安全事件发生,将加开临时会议。每年透过教育训练与内部公告持续向同仁进行信息安全相关的倡导与沟通,以落实信息安全政策,并针对数据保护每半年进行一次演练,将系统切换至备援系统后,进行存取测试。此外,针对公司重要产品信息安全需要,加强门禁管制与监控、信息系统访问权限管理与存取纪录保存与审查,严格管制人员进出与资料存取,避免公司信息遭不当存取、窜改,并防范营业秘密与智慧财产遭窃或外泄。
信息安全处理流程
|
|
|
|
2022 年信息安全管理绩效
信息安全教育训练 | 每月发出信息安全倡导, |
每季信息安全教育训练(社交工程训练) | |
信息安全演成效管理 | 社交工程教育训练课程执行率达 97% 以上 |
发出 7 份资安倡导 | |
新上线系统共7 个,高风险程序代码修正改善率为100%,执行源码扫描的程序覆盖率100% |
通过高等级的信息安全验证 | |
2015 年11 月华邦电子TrustMETM 密孚内存产品与其相关作业环境通过国际安全组织Common Criteria EAL 5+ 高等级验证。此代表华邦对于产品信息安全的各项管控符合国际安全组织Common Criteria 要求,可生产符合国际标准可信赖之安全性产品并保护客户信息与资产。TrustMETM 密孚内存产品之国际安全组织CommonCriteria 验证内容涵盖范畴为「产品设计开发(Design & Development)、生产(Production) 以及运送过程(Delivery)」阶段。2020 年竹北新大楼启用,因COVID-19 改为远程稽核(Remote Audit),顺利通过,相关作业程序与环境均符合Common Criteria EAL 5+ 要求。 |
供货商资安管理
华邦透过内部信息安全制度管理,针对供货商的隐私保护管理采用权限设定,并将实体文件存放于采购单位统一管理。另一方面对于外部供货商信息安全管理,皆于订单上检附信息安全条款,要求合作的供货商签署,供货商需于年度稽核填写信息安全管理自评表,并由华邦信息安全部门审查内容,每两年实地稽核供货商,2021 年10 家外部供货商信息安全年度稽核皆已完成,全数通过。
供货商资安条款签订 | |||||||
2021 年 供货商信息安全条款 签核率 100% |
|
客户隐私保护
华邦严格控管客户相关信息,与客户往来之文件、数据等商业信息均由华邦内部高度防护系统所保存。对于内部相关人员作业权限之核准与开放,均依照
相关作业规范及程序办理,以确保公司达到保护客户隐私及防范营业秘密与知识产权遭窃或外泄,并于2022 年取得ISO 27001 信息安全管理系统通过验
证,建立更完善的信息安全防护制度。
欧盟《一般数据保护规范》(General Data Protection Regulation, GDPR) 自2018 年5 月份生效,华邦已依据GDPR 要求进行相关调整,修改公司网站并
重新检视网站会员资料,以符合GDPR 规范。GDPR 相关规定亦已纳入个人资料保护法在线课程,2022 年完训人次共计3,052 人次,100% 通过考试完成受训,训练时数共计1,526 小时。
2022 年华邦无侵犯客户隐私或遗失客户资料之投诉事件,亦无因违反产品责任之相关法规而被罚款之情事。