美律於 2021 年成立「資訊安全推動小組」,隸屬董事會並由資安長擔任主席,全集團資訊安全專家擔任小組成員,負責審視與制定資訊安全目標與政策,防止發生影響集團資訊系統侵害,每年一次向董事會報告運作成果(最近一次於 2022/12/29 向董事會報告年度執行成果與次年度計畫),以資訊安全與機敏資料保護為重心,是公司競爭力,亦是美律對客戶、股東及員工的承諾。
台灣總部與美律深圳分別於 2021 年與 2022 年取得 ISO 27001資訊安全管理證書,美律自 2022 資安元年設立相關資安目標後,積極推動全集團資訊安全優化、建立資安系統並取得資安認證,以面對外部資安風險提升趨勢,落實「強化資訊安全,確保永續經營」理念,滿足集團營運發展及全面性資安需求的中長期目標。
資訊安全推動小組架構
資訊安全管理重點
資訊安全之管理程序及安全防護技術適用於各項資訊作業,在資訊蒐集、處理、傳送、儲存及流通之過程中,確保資訊資產之機密性、完整性與可用性,並加強資訊安全事件發生之應變能力制訂作業程序,以降低或消除資安事件所帶來的篩害,以防範未來可能發生之資安事件,且著重強化於主動資安防護作業與數位化資安的轉型建置,可達到對公司、客戶、供應商資料與個資的保護作業,並定期宣導強化全體人員資安意識,降低人為資安風險。
在資訊安全管理體系運作下,美律也建立與實施資安管理審查評量作業,每年執行營運衝擊風險評估、內部稽核與營運持續演練等作業,以達到資安風險管理系統的持續運作。
資訊安全推動小組工作重點
資訊安全里程碑
資安控管機制
資安控管 |
機制說明 |
風險控制 |
特權帳號控管 |
用戶端電腦本機管理員特權帳號管理系統
|
防範員工任意安裝非法盜版軟體或惡意軟體入侵
|
資安意識控管 |
資訊安全意識加強,減少資安風險
|
進行資訊安全教育訓練機制,不定期宣導資安風險
|
周邊裝置控管 |
用戶端電腦周邊裝置存取管控系統
|
防範員工使用可移動儲存裝置洩漏機敏資訊
|
網路存取控管 |
上網行為管控及威脅偵測系統
|
防範員工上惡意網站,遭受病毒威脅入侵
|
社交工程演練 |
建置社交工程演練作業,防護電子郵件使用安全
|
防範員工遭受釣魚信件等社交工程作業威脅
|
資訊外洩控管 |
用戶端重要檔案進行加密作業
|
防範機敏資訊外洩及駭客攻擊
|
系統弱點控管 |
資訊系統原碼檢測、主機弱點偵測掃瞄系統
|
資訊系統原碼報告、主機弱點檢查報告,防止威脅入侵
|
日誌稽核控管
|
主機日誌管理系統
|
提供資安事件稽查之相關軌跡日誌查詢
|
網路威脅控管 |
導入 IPS(入侵防禦系統)過濾網路流入封包
|
主動防禦 / 封鎖網路異常行為,避免零時差攻擊
|
遠端存取管控 |
提供 VPN 雙因素驗證,管控公司外遠端連線作業
|
提供員工在公司外連線到公司內部使用資訊應用系統
|
端點保護管控 |
端點病毒 / 行為特徵碼偵測管控
|
針對端點行為特徵碼監控,以避免端點受到攻擊
|