資訊安全
資訊安全治理制度與策略
精材公司為保障公司及客戶之機密資訊安全,本公司自民國97年1月設置「機密資訊保護委員會(Proprietary
Information Protection Committee, PIP Committee)」
負責機密資訊安全管理及監督,並制定「機密資訊保護政策」及「機密資訊保護作業管理辦法」,明定公司機密資訊保護的管理政策、程序及規範作業。精材資訊安全政策:為致力於
維護資訊環境之安全,建構完善的資訊安全制度與全方位的資安防禦能力,透過資安技術運用識別資安風險與弱點預防及改善,提升同仁對資訊安全保護的正確觀念
及警覺性,降低機密資訊外洩及網路病毒攻擊的風險,維持公司競爭優勢。
五大行動目標,落實PDCA循環:
1.建立與落實機密資訊及資訊安全管理系統。
2.遵守法規與合約之機密資訊及資訊安全要求。
3.落實員工與相關團體機密資訊保護及資訊安全教育及宣導。
4.評估與鑑識風險並設定改善目標與控制措施。
5.透過內部稽核活動持續改善機密資訊及資訊安全管理系統。
資訊安全組織
PIP機密資訊委員會為精材公司專責負責資訊安全治理、規劃、監督及推動執行單位,協同資訊部門共同建構完善的治理制度
與全方位的資安防衛能力。委員會每季定期召開會議檢視資安政策及執行成果,且每年定期向董事會報告資安治理概況。
1.PIP委員會:由各部門主管指派代表組成,負責全公司的機密資訊管制作業之研議、建置、稽核與推動等事項。
2.PIP執秘部門:負責機密資訊管制、規劃、監督及推動執行。
3.資訊部門:負責資訊安全系統建置與管理,並依PIP委員會決議及需求協助評估、建置及管理資訊安全軟、硬體,並進行
資料通訊及儲存行為之異常分析,若有異常則以資安通報呈報PIP委員會處理。
資安風險管理對策及投入之資源
1.強化資安防禦能力與第三方外網資安弱點評鑑及弱點改善。
2.制定資訊系統企業持續營運及災害應變計劃及演練,並明確訂定核心業務之復原時間目標(RTO)及資料復原時間點目標
(RPO),設置適當之備份機制及備援計畫。
3.定期展開危害鑑別、風險評估及改善作業。
4.建置資訊安全監控中心SOC,
即時掌控公司資訊安全狀態,專注於資訊安全警訊、警戒提升處置及資安事故發生時之指揮中心。
5.建置SIEM (Security Information and Event Management),集中各系統所蒐集紀錄,整合事件告警、關聯分析、產出數據報表,以輔助資安人員更有效率地建立整體環境可視性並即時排除問題。
6.社交工程-增加可疑郵件識別機制、釣魚郵件演練與案例宣導。
7.定期宣導及進行查核活動,以確保公司的機密資訊保護措施的落實。
8.機密資訊盤點、分類分級及標示,並且建置系統避免機敏資訊外流。
9.強化外部資安防禦設備以預防零時差攻擊及阻斷釣魚郵件。
10.強化伺服器防護、管理及異動機制。
11.重要供應商資安問卷調查及拜訪交流。
2024年度教育訓練與稽核
1.累計完成12次PIP管理會議及4次PIP委員會議。
2.公司全員2024年完成PIP教育訓練及稽核。
3.資訊安全人員,2024年累計完成20個場次內外資安教育訓練。
資訊安全事件
資訊安全事件調查程序:
2024年度迄今本公司無因重大資通安全事件所遭受之損失。