資通安全攸關企業的營業秘密能否完善保護,合一生技制訂資訊安全政策,對內亦採取具體防範措施以落實資通安全。公司2021年責由資訊部成立資通安全委員會,由董事長擔任召集人,並設立資通安全管理代表一職,委員會下設資通安全小組及內部稽核小組,共同制定資通安全政策(以下簡稱本政策)暨執行計畫。資通安全小組每季向資通安全管理代表報告公司資安管理現況,每年檢討資安政策。另外由稽核室成立內部稽核小組負責稽核,每年定期執行抽核資通安全政策執行情形,追蹤改善計畫執行成效。2022年資通安全小組設有2人,內部稽核小組設有1人,期間召開1次資通安全會議,年內並未發生重大資通安全違規事件。
資通安全組織架構
為維護公司資訊資產之機密性、完整性與可用性,期藉由本政策之實施以達成下列目標:
| 資通安全政策 |
- 建立安全及可信賴之資訊化作業環境,確保本公司資料、系統、設備及網路之安全,以保障本公司業務永續運作。
- 保護本公司業務服務之安全,確保資訊需經授權人員才可存取資訊,以確保其機密性。
- 保護本公司業務服務之安全,避免未經授權的修改,以確保其正確性與完整性。
- 建立本公司業務永續運作計畫,以確保本公司資訊業務服務之持續運作。
- 確保本公司各項業務服務之執行須符合政府相關法令(如:資通安全管理法、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)規範之要求。
- 為保護本公司業務相關個人資料之安全,免於因外在威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失、或洩漏等風險。
- 提升對資訊資產之保護與管理能力,降低營運風險。
|
資安具體管理措施
| 制定管理辦法 |
- 合一生技為健全資通安全管理制度,於2022年3月完成ISO 27001認證,藉由國際資安管理標準落實相關管理制度,以提升同仁資通安全意識,建立正確的電腦網路使用準則,已分別制定資政策及相關管理程序書如下:資通安全政策、資通安全組織與目標管理程序書、資訊資產管理程序書、資通安全風險評鑑、實體安全、作業安全、存取控制、資通安全事件管理等21本程序書及說明書。
|
| 資訊技術 |
- 公司在資訊安全防護上,加強軟體與硬體方面多層次防護,其中包含,帳號複雜性密碼驗證、主機與用戶端防毒、上網行為管理/惡意網站防護、防火牆阻擋、主機資料備份、資料加密、網路IP管理等。
|
| 推廣與改善 |
- 健全資通安全管理機制,提升同仁資通安全觀念與強化自我保護意識,每年至少辦理1次資通安全管理審查會,針對年內相關資安制度與事件進行監督與管制,另每年至少舉行資通安全宣導3小時以及資通安全事件通報演練1次,2022年共計2場次,計有社交工程演練說明、上市上櫃資安指引等教育訓練。另外2022年執行4次電子郵件社交工程演練,以提升公司人員資安意識。
|
| 加入資安聯防機制 |
- 為強化主動防禦策略,合一生技已於2022年9月加入TWCERT/CC資安聯盟,不定期透過該平台進行網駭情資交換,期藉由該聯防機制,擴大公司資安防禦廣度。
|
資通安全事件通報與應變流程圖
2021合一生技資安教育訓練統計
註:涵蓋率計算 = 參與人數 / 應參與總人數
2019-2022年資通安全管理執行成效
導入ISO27001 ISMS制度說明
為展現合一生技對於資安的重視程度,與國際資安標準接軌,合一生技已於2021年第三季導入ISO 27001 Information Security Management System(ISMS)機制,並於2022年3月通過BSI稽核取證。此次導入ISO驗證項目,包含系統與管理面,執行項目包含風險評估、弱點修復、安全防護、風險驗證、資產清查及風險評鑑及人員教育訓練等工作項目,期符合國際資訊安全管理規範,維護公司資訊安全。
|
效期至2025年3月1日
|
※以上內容取自ESG報告書
