規章及政策
為掌控資訊安全與管理資安風險,瑞軒科技於2020年訂定《資訊安全政策》,明訂資訊安全治理架構、資訊安全策略、資訊安全管理機制。藉由落實資訊安全策略與內部控制,持續精進資訊安全管理與強化防護能力,保護公司之研發成果、策略、合約文件、智慧財產、資訊系統、客戶資料等企業重要無形資產。越南廠另訂有《個人資料保護準則》,旨在確保員工理解政府新頒佈之法規內容,並制定相關流程供員工遵循。瑞軒資訊安全管理機制運用PDCA管理,包含四面向。
內控制度規範
訂定資安規範與制度,以規範公司人員資訊安全行為,每年定期檢視相關制度是否符合營運環境變遷,並依需求適時調整。
進行調查程序
落實公司訂定ISO程序及各資安規範制度,管理與監控所有營運系統及網路服務安全事件和狀態,評估及導入資訊技術、資安設備運用。
弱點風險評估
定期審視內部資訊安全,根據資產價值、弱點、威脅與影響性,分析內部風險水平,並以此風險評估結果制定安全措施強化項目,精進且提升整體資訊安全環境。
資安應用改善
定期審視內部資訊安全,根據資產價值、弱點、威脅與影響性,分析內部風險水平,並以此風險評估結果制定安全措施強化項目,精進且提升整體資訊安全環境。
管理架構
瑞軒科技以資訊安全治理架構作為指導及控制組織整體資訊安全活動之系統,確保資訊安全目標與組織營運目標及策略方向一致。
資安投入資源
2023 年投入近新台幣372 萬元於資安相關項目,相較2022 年成長約24%( 僅包含資安相關項目,不包含其他軟硬體及基礎建設項目)。
近兩年資安投入金額
2023 年執行之資安防護措施如下
資訊系統漏洞的鑑別工作主要透過定期的安全審查與漏洞掃描實施。瑞軒採用國際認證的安全工具和服務,亦設立中央化的漏洞報告系統。針對已鑑別出產品資安漏洞項目,瑞軒會立即評估相關資安漏洞嚴重性與真實性,並根據嚴重性劃分優先級。對於高風險漏洞,瑞軒設有即時處理的團隊,確保在最短時間內修補,避免造成產品資安或客戶資料外洩的問題。此外,資安處會定期舉辦員工資安教育訓練,增強員工對於識別和處理資安問題的能力。瑞軒重視供應鏈資訊安全,不定時持續與供應商進行資安交流,協助完善價值鏈資安管理組織與制度,與政府主管機關規範企業設立資訊安全專責單位的政策方向一致。在各資安技術防護層面有效防止各式外部攻擊下,瑞軒科技2023 年並未發生任何資安事件,亦未接獲來自主管機關或外部針對客戶隱私外洩情事的投訴。
Action1.
採用M365混合雲端服務並搭配Defender for Enterprise可進行監管降低外部釣魚及帳號竊取的機率。
Action2.
不定期進行內網網路弱點掃描。
Action3.
內網風險分析稽核服務規劃:預防APT惡意程式、監控C&C連線行為、檢測攻擊活動與特性判斷、傳輸檔案分析、惡意網路行為及異常網路連線、完整呈現攻擊流程及受影響程度。
Action4.
集團網路架構進行安全性弱點檢視,依照網路架構安全設計、備援機制設計、網路存取管控、網路設備管理、主機設備配置等。
Action5.
規劃廠商遠端服務安全機制,落實各協力廠商服務log紀錄分析。
Action6.
協請外部資安團隊,進行公司內外網路設備及資安環境掃瞄分析,產出資安改善報告,並全面推動資訊安全改善計畫。
Action7.
添購防火牆資安模組,增強阻擋機制。
Action8.
優化備份架構,阻隔勒索病毒攻擊。
Action9.
蒐集資安情資,及時修補安全性漏洞。
Action10.
導入CrowdStrike MDR端點防護,加強總部、海外廠區伺服器群資安防駭能力,更精準且快速地阻斷隱匿於內部之惡意程式及駭客攻擊行為。
Action11.
定期舉辦教育訓練與資安宣導,提升員工資訊安全意識。