Best Technology, Better Future

社會

資訊安全

資訊保護體系

  • 制定涵蓋了資產管理、人員安全、物理安全、資訊技術保安等內容的全公司安全規範和指南

    為加強資訊安全管理,指定最高資訊保安負責人(CISO)

    在首席執行官之下運營“資訊保安協議會”,努力加強和改進資訊保護管理

  • 透過遵守個人資訊保護法、制定個人資訊處理政策等方式賦予公司資訊保護義務

    為管理個人資訊相關風險和預防侵犯,指定個人資訊保護責任人(CPO)

全公司資訊安全組織圖

informationsecurity_png informationsecurity_png

資訊保護策略

資訊保護及個人資訊保護政策
查看ISO 27001(資訊安全管理系統)
  • 為了加強企業對資訊保護的責任,取得ISO 27001認證並建立相應的ISMS(Information Security Management System,資訊安全管理系統),以及制定資訊保護方針

    根據全公司的安全規範和指南,安全保護企業資產,並為資訊安全政策和應對安全事故運營11條指導方針

查看ISO 27001(資訊安全管理系統)
資訊安全指導方針
  • 1. 資訊安全組織的運營
  • 2. 資訊資產管理
  • 3. 人員安全
  • 4. 應對安全事故
  • 5. 遵守法規及根據業務特性進行安全管理
  • 6. 安全審核
  • 7. 物理安全
  • 8. PC及移動設備保安
  • 9. 資訊技術保安
  • 10. 國家核心技術保安管理
  • 11. 合作企業項目保安
加強員工的安保意識
  • 以全體員工為對象進行資訊安全教育,對部分員工另行實施教育

    每年為全體員工進行安全教育,並為新入職員工、即將離職者、合作公司、訪客、國家核心技術和個人資訊處理者等提供針對性培訓計劃

    在發生引起社會關注的安全事故時,透過公司內部公告欄向全體員工傳達案例分析及注意事項

    每月發送安全新聞報,傳遞國內外發生的各類黑客攻擊和最新的安全相關消息,持續努力提高員工的安全意識

    為了應對近期備受關注的社會工程學手法的黑客攻擊,定期對員工進行模擬訓練

    模擬訓練:實際向員工發送偽裝成著名互聯網門戶或政府機構的郵件,檢查員工是否閱讀郵件內容、訪問釣魚網站及輸入個人資訊

informationsecurity_letter

<清潔臺活動>

資訊保護活動

網路安全
  • 透過互聯網網關24小時監控,阻止和監視透過互聯網網路的外部入侵

    發生外部入侵時,根據公司內部流程組建CERT(Computer Emergency Response Team),該小組與外部分析機構及政府機構合作,對攻擊進行應對並採取相關措施從而將損失降至最低

    為保護重要數據,運營位於內外部網路區域之間的中間區域,即DMZ(Demilitarized Zone)

    透過開設防火牆(Firewall)來保護DMZ、業務/設計網路等主要網路,同時持續監控流量

    防火牆僅允許可信賴的流量進行網路通信,對於不可信賴的流量則阻斷其網路通信

    為了僅允許授權設備連接無線網路,構建並運營WIPS(Wireless Intrusion Prevention System),透過該系統僅允許使用工作用無線設備,阻斷個人智能設備等未經授權的無線設備與網路連接

為了保護重要資訊進行網路隔離
  • 網路隔離是一種在完全隔離的環境中進行操作的技術,針對半導體設計等核心業務,運營時完全將其與一般業務網路進行隔離

    在隔離的網路中,如果需要將數據移動到一般業務網路,必須透過特定流程的批准,這樣可以從源頭上防止設計相關資訊泄漏於外部

    透過員工業務用PC VDI(Virtual Desktop Interface)完成了虛擬化操作,實現了工作網路和本地PC的隔離

    即使員工在居家辦公等情況下自公司外部連接時,也可提供安全的VDI環境,支持高效的業務運行

物理安全
  • 運行出入管理系統(僅允許預先授權的人員進出)

    為防止未授權的筆記本電腦和存儲介質被帶出,使用X射線和金屬探測器進行安檢

  • 引入安全用紙解決方案(2023年~)

    公司內部僅允許使用安全紙打印,並運營安全紙感應門(EAS)以防止文件被未經授權帶出

  • 出入管理系統-MDM(Mobile Device Management)聯動管理

    為了公司內部安全管理,限制個人智能設備的某些功能(如拍照等)

    進入公司內部時啟用MDM,下班時自動解除

  • PC安全

    為了保護工作用PC的資訊並防止泄露,為所有員工的PC安裝病毒防護軟件及數據丟失防護(DLP*)安全解決方案

    只有安裝了安全解決方案的PC才能連接公司內部網路(運行NAC*),限制保安薄弱的PC訪問

    * DLP : Data Loss Prevention

    * NAC : Network Access Control