資訊安全與個資管理
一、資通安全風險管理架構、資通安全政策、管理方案及投入之資源。
(一)資通安全管理組織架構
| 部門/職稱 | 職責 |
| 總經理 | 1.明訂資訊安全管理系統範圍、組織架構、資源提供、持續改善等決策。 |
| 資安主管 | 1.負責推動本公司資安管理運作。 |
| 資訊中心 | 1.統籌資訊安全管理系統相關工作。 |
| 人資部 | 1.人事管理 |
| 各部門 | 1.依公司資訊安全規定,執行各項活動、使用資訊設備及維護資訊安全環境。 |
本公司於2019.9.12即制定「福華電子公司資訊安全管理辦法」;辦法中明訂本公司資安風險管理組織架構及職責、資通安全政策、軟硬體存取控制程序、資訊作業管理、網路通訊管理、人力資源安全等相關作業標準進行遵循與管制。 在2023年設置資安專責主管和資安人員,負責統籌資安防護和相關政策執行及查核,確保公司個人資料保護、運營資料、資訊軟硬體設備和網路安全。
(二)資通安全政策、具體管理方案及投入資源
運用資訊科技保護公司的資訊資產安全
提供機密性、完整性及可用性資訊服務
創造公司、客戶及社會共好的資訊環境
1.在組織控制方面:
(1)資通安全政策做為資安風險管理最高指導原則,同時依國內資通安全管控指引建立管理機制,確保資訊業務運作之有效性和持續性。 (2)除建置資安防護外,並透過外部聯防組織或機構(如:台灣CERT/CSIRT聯盟、趨勢科技)提供威脅情報,分享相關資安情資,並做適當防禦以降低公司可能暴露之風險。 (3)每季進行資安幹事會議,每年舉辦一次資通安全教育訓練。 (4)稽核活動包含不定期之外部會計師事務所數位審計部門之資訊環境與資通安全查核,每年一次稽核室的資通安全內控檢查,以確定管理系統的實施狀況和是否達成各項資訊安全目標;查核報告併呈報董事長。 (5)員工簽署個資聲明書,並告知當事人搜集個人資料之目的、類別以及當事人可行使之權利,以符合個資保護相關法令規定;每年並舉辦一次個資法常識宣導教育訓練。 (6)外部協力廠商提供服務前,應簽署廠商保密同意書及承攬人個資告知同意書,並遵守相關資訊安全要求。 (7)針對銷售客戶特殊重要交易事項,應簽署保密協議(NDA),約束當事方同意不可揭露該項商業活動過程的任何敏感資訊,為交易資訊提供重要保護。 (8)資安人員設置:資安主管和資安人員共2人;本年度防火牆、防毒軟體、SSL憑證、ERP/NAS備份裝置等投入費用約$900,000元。 (9)本年度資通安全管理報告並於2024/11/21董事會議呈報。
2.在技術控制方面:
(1)依據PDCA循環的管理機制,落實資通安全政策施行: (2)落實資訊機房每日點檢,針對主要伺服器、防火牆CPU負載、郵件收發、專線流量、虛擬主機系統運作及負載等檢查。 (3)建置防毒中控系統,提供主動性安全保護;並搭配第三方資安監控機制,防止電腦病毒入侵風險。 (4)升級網路防火牆來達成網路防護與區隔,滿足內部需求並採取最小開放port原則,以強化關鍵基礎服務之安全管控。 (5)資訊系統操作採最小授權原則管制作業權限,避免未經授權之人員存取資料,防止個人資料/營業資料被竊取、竄改、毀損或洩漏。 (6)擬定備份計劃並不定期進行備援可用性測試,例如企業ERP系統還原演練,確保系統完整性及高可用性,提供企業永續運作服務。
二、最近年度及截至年報刊印日止,本公司並無因資安事件遭受任何形式之損失。對於資訊安全事件的通報與處理,本公司已明確訂立資安通報及處理流程並於員工資安教育訓練中揭示該通報程序;資訊中心接獲通報後需於目標處理時間內排除及解決資訊安全事件,並在事件處理完畢後進行原因分析與採取矯正措施,以預防事件重複發生。
三、本公司為落實個人資料保護,依據《個人資料保護法》制定《福華電子股份有限公司個人資料保護管理要點》,遵循誠實信用原則,於特定目的必要範圍內,合法蒐集、處理及利用個人資料,並尊重當事人權益。
(一)專責管理窗口
| 管理項目 | 專責窗口 |
| 個人資料檔案安全維護 | 人力資源處人事課 |
| 本公司發生重大個人資料外洩事件聯繫窗口 | 各單位最高主管 |
| 損害之預防及危機處理應變之通知 | 各單位最高主管 |
| 本公司所屬同仁個人資料保護意識之提升及訓練 | 人力資源處人事課 |
| 個人資料保護相關制度及辦法之制定及修改 | 人力資源處人事課 |
(二)個資保護法令宣導
| 年度 | 課程名稱 | 宣導日期 | 人數 | 時數 | 其他宣導管道 |
| 112年 | 落實個資保護管理 | 112.03.17 | 16人 | 1小時 | 公司內部網站公告課程內容,向全體員工宣導。 |
| 113年 | 落實個資保護 | 113.03.29 | 17人 | 1小時 |