桓達科技股份有限公司

資通安全管理

資通安全風險管理架構
♦本公司資訊技術處為非隸屬使用者單位之獨立部門，由資訊技術處主管擔任資訊安全主管，並由RS資源服務小組擔任資通安全處理小組。
♦資訊技術處負責統籌並執行資訊安全政策，宣導資訊安全訊息，提升員工資安意識，蒐集及改進組織資訊安全管理系統績效及有效性之技術、產品或程序等。
♦訂定資通安全事件危機通報作業辦法，詳細說明在資安事件發生時的行動步驟，包括事件偵測、響應、恢復和後續分析。定期演練和更新，確保在真正的危機情況下能夠有效運作。
♦資訊稽核小組每年就內部控制制度—電子計算機循環，進行資訊安全查核，評估公司資訊作業內部控制之有效性。
♦文件管制小組確保資訊安全政策、程序和標準得以有效實施、持續更新並被組織內的所有相關人員理解和遵守。確保所有資安相關文件都經過適當的審核和批准流程，並進行版本控制。
♦至少一年一次向董事會報告資通安全風險管理運作情形，本公司於114年3月10日向董事會報告。
資通安全政策及具體管理方案
(1) 網際網路資安管控
♦架設防火牆（Firewall）
♦定期對電腦系統及資料儲存媒體進行病毒掃瞄
♦各項網路服務之使用應依據資訊安全政策執行
♦定期覆核各項網路服務項目之System Log，追蹤異常之情形

(2)資料存取管控
♦電腦設備應有專人保管，並設定帳號與密碼
♦依據職能分別賦予不同存取權限
♦調離人員取消原有權限
♦設備報廢前應先將機密性、敏感性資料及版權軟體移除或覆寫
♦遠端登入管理資訊系統應經適當之核准

(3)應變復原機制
♦定期檢視緊急應變計劃
♦每年定期演練系統復原
♦建立系統備份機制，落實異地備份
♦定期檢討電腦網路安全控制措施

(4)宣導及檢核
♦隨時宣導資訊安全資訊，提升員工資安意識
♦每年定期執行資通安全檢查，呈報權責主管

(5)為落實資安管理，公司訂有內部控制制度—電子計算機循環及資訊管理辦法，藉由全體同仁共同努力期望達成下列政策目標：
♦確保資訊資產之機密性、完整性及可用性。
♦確保依據部門職能規範資料存取。
♦確保資訊系統之持續運作。
♦防止未經授權修改或使用資料與系統。
♦定期執行資安稽核作業，確保資訊安全落實執行。

(6)加入TWCERT/CC台灣電腦網路危機處理暨協調中心
♦取得即時的安全威脅資訊，強化企業資安。
♦獲得專業的技術支援與諮詢，並與其他成員共享資訊。
♦定期參與中心舉辦之網路安全相關培訓及教育活動。
資訊安全教育訓練與維護
本公司113年度資安資源與維護包括AD系統建置維護、FortiCient VPN建置、Zabbix網路監控軟體建置、Wazuh安全監控和事件管理平台建置、網路配置管理工具建置、WSUS微軟更新平台建置、跨廠區SDWAN建置、集團資訊設備汰換、續簽集團光纖專線、企業資安防護及各項軟硬體維護合約、鼎新瀏覽器擴充專案建置等，全年度投入計6,484仟元。
本公司每年均於土城總公司，二廠及宜蘭廠辦理新人報到訓練－資訊系統基礎操作說明，113年度上課總人數共計62人，上課總時數為31小時。並聘請外部資訊安全講師來廠區開立資安通識講座，上課總人數共計34人，上課總時數為136小時。主要內容為說明外部駭客入侵詐騙手法及防範意識，同時也宣導最新資安觀念給予同仁以減少風險產生，期望提升全員資安意識，並透過外部郵件過濾、網路防火牆及公司電腦佈署資安防護軟體和防毒軟體，確保公司內部的資訊安全。