資訊安全推動小組

一、資通安全風險管理架構

資訊安全與機密資料保護,是公司的競爭力,亦是美律對客戶、股東及員工的承諾。

美律由董事會下的永續發展及提名委員會督導的資訊安全推動小組,啟動集團資訊安全管理體系的建置,並於111年10月27日,經董事會通過,設立集團資通安全資安長一職。資安長負責資通安全政策推動及資源調度事務,並由資安執行主管及1名專責資安管理同仁偕同系統架構部門6名同仁,一起確保資通安全各項管理規範持續執行實施,資安推動小組人員總數為14位。
資安長最近一次已於113年7月25日永續發展及提名委員會及董事會報美律集團的資訊安全執行狀況及未來規劃。


資通安全部門組織及功能
架構






二、資通安全政策、具體管理方案及執行情形:
 
項目
說明
工作職掌 1.統整規畫年度資訊安全計畫,整合公司資安作業。
2.決策資安風險評鑑作業,強化持續營運需求。
3.定義資安政策目標,決策資安目標面向。
4.督導稽核廠處資訊安全活動,以確認符合資訊安全政策與程序、辦法。
5.規劃執行廠處資安稽核計畫,提出稽核報告,追蹤改善情形。
6.資安推動小組人員總數為14位,成員皆為各工廠最高主管及其資安代表,負責推動與落實工廠各項資安管控機制與辦法建立。
董事會報告 每年定期(兩次)向永續發展及提名委員會及董事會報告資安成果與計畫。
資訊安全政策每季會議 1.審查與核准重要的資訊安全需求。
2.審查與解決重大的資訊安全議題。
3.檢視資訊安全管理的成效和回饋意見。
5.風險評鑑審查會議。
資訊安全政策 1.制定完善的資安政策與規劃,滿足營運及客戶全面性資安需求。
2.落實確保資安的運行與效益,達成集團業務營運永續發展目標。
風險管理與防範方案 1.成立資安委員會,建立審查權責機制,強化集團資安之防護。
2.保護檔案機密性,加強資訊安全規範,確保機敏資料不外洩。
3.維持資料完整性,制定資訊安全流程,降低資安異常與缺失。

4.落實系統可用性,執行資訊安全稽核,完善資訊服務不中斷

方案及具體管理
當年度執行情形
1.已導入資安建構系統工具,保護系統管理員帳號、改善簽核便捷與資料傳輸加密作業,確保資訊及資料不外洩。
2.制訂定期資訊安全內部稽核,並於每半年定期檢視相關資訊問題。
3.每年定期審查資訊系統帳號權限,並檢視使用帳號之合理性。
4.每年執行供應商資訊安全評鑑作業,協同強化供應商資安風險管控,以保護我司資料安全。
5.每年定期委外資安專業廠商,進行我司對外服務之伺服器(例如:公司網站...等)進行弱點掃描或滲透測試作業。
6.持續強化資安防護與建立聯防機制,並培育優秀資安人才。
7.規劃ITILv4 管理評鑑機制,強化資訊流程與保護。
8.每月對員工進行郵件社交攻擊演練,提升
員工對釣魚郵件的警覺性。
9.112年12月25日完成ISO27001稽核作業,且今年未有重大資安事件。
10.已加入台灣資安主管聯盟,強化資安外部連結。
11.已於2018年6月開始投保Cyber Risk Insurance,以降低業務中斷所造成的風險損失及求償責任,期望成為於資安治理成熟度表現傑出之企業。
12.公司於110 年導入 ISO27001 資訊管理系統,並取得ISO27001 認證, 證書之有效期為110年12月7日至113年12月6日。並訂於113年11月進行ISO27001:2022轉版驗證,預計將證書有效期限延展至116年12月6日。透過 ISO27001 資訊安全管理系統之導入,強化資訊安全事件之應變處理能力,保護公司與客戶之資產安全。
13.113年已執行全體員工資通安全教育訓練,課程時間為53分鐘。
14.113年參與資安稽核相關工作人數為198人,資安專案開會次數為20次。