資訊安全管理
Information Safety
資訊安全管理措施
華邦訂有「資訊安全政策」、「技術與機密資料管理辦法」,規範保護公司機密資訊,包含商業秘密、智慧財產,確保客戶隱私受到完善的保護,為了全面提升華邦的資訊安全管理制度,於2020 年申請ISO 27001資訊安全管理系統,並於2021 年2 月通過驗證,涵蓋中科廠、竹北大樓的資訊機房、資訊系統及應用系統,並在 2022 年,進行高雄廠的延伸驗證。此外,華邦也於2021 年導入雲端資訊安全檢測工具(Security Score Card, SSC),針對華邦所有提供對外的服務,進行非侵入式的即時弱點偵測,於2021 年4 月初步導入至2023 年底,通過不斷的修正改善,分數由71 分(C 級) 上升至99 分(A 級),也同步導入其他相關資訊安全應用,全面提升華邦的資訊安全完整度。
華邦依據「資訊安全政策」執行程序,設有資安長與資安主管,並由相關部門指派代表組成資訊安全組織,負責公司的資訊安全管制作業,包括研議、建置、推動與稽核。定期召開會議,針對資訊安全相關議題進行討論與決議,範圍涵蓋人力資源、實體安全、資訊與邏輯安全等面向;當有重大變革或資訊安全事件發生,將加開臨時會議。每年透過教育訓練與內部公告持續向同仁進行資訊安全相關的宣導與溝通,以落實資訊安全政策,並針對資料保護每半年進行一次演練,將系統切換至備援系統後,進行存取測試。此外,針對公司重要產品資訊安全需要,加強門禁管制與監控、資訊系統存取權限管理與存取紀錄保存與審查,嚴格管制人員進出與資料存取,避免公司資訊遭不當存取、竄改,並防範營業秘密與智慧財產遭竊或外洩。
資訊安全事件處理流程
|
|
|
|
2023 年資訊安全管理績效
資訊安全教育訓練 | 每月發出資訊安全宣導 |
每季社交工程資訊安全意識教育訓練 | |
資訊安全訓練成效管理 | 社交工程教育訓練課程執行率達 99% 以上 |
發出 12 份資安宣導 | |
2023 年新上線系統及系統異動共 88 個,高風險程式碼修正改善率為100%,執行源碼掃描的程式覆蓋率100% |
通過高等級的資訊安全驗證 | |
2015 年11 月華邦電子TrustMETM 密孚記憶體產品與其相關作業環境通過國際安全組織Common Criteria EAL 5+ 高等級驗證。此代表華邦對於產品資訊安全的各項管控符合國際安全組織Common Criteria 要求,可生產符合國際標準可信賴之安全性產品並保護客戶資訊與資產。TrustMETM 密孚記憶體產品之國際安全組織CommonCriteria 驗證內容涵蓋範疇為「產品設計開發(Design & Development)、生產(Production) 以及運送過程(Delivery)」階段。2020 年竹北新大樓啟用,因COVID-19 改為遠端稽核(Remote Audit),順利通過,相關作業程序與環境均符合Common Criteria EAL 5+ 要求。 |
供應商資安管理
華邦透過內部資訊安全制度管理,針對供應商的隱私保護管理採用權限設定,並將實體文件存放於採購單位統一管理。另一方面對於外部供應商資訊安全管理,皆於訂單上檢附資訊安全條款,要求合作的供應商簽署,供應商需每年度填寫資訊安全管理自評表,交由華邦資訊安全部門審查,並依審查結果安排實地稽核。
供應商資安條款簽訂 | |||||||
2023 年 供應商資訊安全條款 簽核率 100% |
|
客戶隱私保護
華邦嚴格控管客戶相關資訊,與客戶往來之文件、資料等商業資訊均由華邦內部高度防護系統所保存。對於內部相關人員作業權限之核准與開放,均依照
相關作業規範及程序辦理,以確保公司達到保護客戶隱私及防範營業秘密與智慧財產權遭竊或外洩,並於2022 年取得ISO 27001 資訊安全管理系統通過驗
證,建立更完善的資訊安全防護制度。
歐盟《一般資料保護規範》(General Data Protection Regulation, GDPR) 自2018 年5 月份生效,華邦已依據GDPR 要求進行相關調整,修改公司網站並
重新檢視網站會員資料,以符合GDPR 規範。GDPR 相關規定亦已納入個人資料保護法線上課程,2023 年100% 員工通過考試完成受訓。
2023 年華邦無侵犯客戶隱私或遺失客戶資料之投訴事件,亦無因違反產品責任之相關法規而被罰款之情事。