サイバーセキュリティ管理

EDT/サイバーセキュリティ管理

情報セキュリティリスク管理組織

当社は、情報部門の責任者を情報セキュリティ責任者に任命し、「情報セキュリティ委員会」および「情報セキュリティ推進チーム」を設置し、情報セキュリティの強化を図っています。 「情報セキュリティ委員会」は、情報セキュリティ統括責任者が招集し、社内の監査室、情報部、管理部、法務・営業部の各部門に1名を委員として任命します。また、情報セキュリティ部門の担当者をチームメンバーとして任命し、情報セキュリティの予防やインシデント対応などのさまざまな情報セキュリティ業務の計画と実行を担当します。

 

「情報セキュリティ委員会」は、「情報セキュリティ推進チーム」が策定した情報セキュリティポリシーを承認し、定期的に経営検討会を開催するとともに、組織の大きな変更(組織調整、主要業務等)があった場合にはポリシーを再評価します。変更など)の適用性。 情報セキュリティポリシーは、評価結果や関連法令、最新の技術やビジネスの動向等を踏まえ、実際のニーズに適合するよう適切に見直します。 また、「情報セキュリティ委員会」は、情報セキュリティリスクの管理状況を毎年定期的に取締役会に報告し、取締役による会社運営の監督・管理を強化します。

情報セキュリティポリシー

全台晶像晶像股份有限公司容認
プロジェクトコンテンツ
方針の目的当社は、以下の運営及び経営目標を達成するために、この方針を定めます:
  • 企業の情報運用を中断することなく継続し、内部システム管理の有効性を維持し、情報サービスの品質を向上させることができます。
  • 処理および利用されるすべての情報の機密性、完全性、正確性を確保します。
  • 個人情報の収集、処理、利用に関連する業務プロセスは、個人情報保護法の要件を遵守します。
適用範囲当社のすべての従業員、事業体、業務委託先、当社の情報サービスの訪問者および利用者等。
ポリシー要件
  • 企業は、知的財産保護法、個人情報保護法、外部関係者と締結した協定や契約などの関連法令を遵守する必要があります。
  • 情報部門と管理部門は、関連する管理システムの計画、実行、連絡、調整を促進し、担当者がビジネスのセキュリティ責任を確実に理解できるように、情報セキュリティと個人データ保護の教育、訓練、推進を積極的に実施する責任があります。実行。
  • 当社従業員が業務遂行のために保有する情報資産は、公的所有の原則に基づき、必要に応じて分類・格付けされ、リスク評価が行われ、実際の業務ニーズに基づいて情報運用が計画・運用されます。情報操作の可用性を確保するために実行します。
  • 物理的なオフィス環境および重要な情報機器室は、環境の安全性を維持するためにアクセス制御の対象となります。
  • コンピュータウイルスや悪意のあるソフトウェアによる業務への影響を防ぐため、法的に認められたシステムソフトウェアやアプリケーションソフトウェア以外の不正なソフトウェアの使用を禁止します。
  • 管理システムの有効性を確保するために、管理システムの関連手順規範に違反した者は、関連規定に従って調査され、処罰されます。
責任
  • 当社は、関連するマネジメントシステムの推進を統括するための管理組織を設置しています。
  • 経営者は、管理システムに積極的に参加して支援し、適切な基準と手順を通じてこのポリシーを実施する必要があります。
  • 当社のすべての従業員、外部委託サービスプロバイダーおよび訪問者は、このポリシーを遵守する必要があります。
  • 当社および外部委託サービスプロバイダーのすべての担当者は、適切な報告メカニズムを通じて情報セキュリティインシデントまたは脆弱性を報告する責任があります。
  • 情報セキュリティと個人情報保護を危険にさらす行為は、事件の重大性に応じて民事、刑事、行政上の責任を追及されます。
実装と改訂この方針は情報セキュリティ委員会で検討・承認され、本部長の承認を経て実施されます。変更する場合も同様となります。

情報セキュリティに関する具体的な管理計画

当社 は、サイバー セキュリティ保険はまだ新興のタイプの保険であり、サイバー セキュリティ レベルのテスト機関、請求識別機関、不請求条件およびその他の関連サポート施設が関与していると考えています。 したがって、サイバーセキュリティ委員会による評価の後、サイバーセキュリティ保険への加入は一時的に推奨されません。 現在、当社のサイバーセキュリティリスク管理の主な対策と実施は以下の通りであり、サイバーセキュリティを効果的に保護しており、2023年11月2日に取締役会に提出されています:

項目身体管理プロトコル
プロジェクトマネジメント計画
ファイアウォール保護
  • ファイアウォールは接続ルールを設定し、デフォルトでは基本的なインターネット接続と電子メール接続のみを許可します。
  • 特別な接続要件がある場合は、開く前に上級マネージャーの承認が必要です。
  • 毎月のファイアウォール攻撃の数を監視および分析します。
ユーザーアクセス制御メカニズム
  • 自動 Web サイト保護システムを使用して、ユーザーのオンライン行動を監視します。
  • ユーザーがトロイの木馬ウイルス、ランサムウェアウイルス、または悪意のあるプログラムにリンクされている可能性のある Web サイトを自動的に除外します。
  • インスタント メッセージング ソフトウェア、Web メール、ネットワーク ハード ドライブ、ファイル転送、その他のオンライン サービスを承認なく使用することは禁止されています。
無線ネットワーク制御機構
  • ワイヤレス ネットワークは、ビジネス用ラップトップおよび携帯電話やタブレットなどのモバイル デバイスにのみ公開されており、開く前に上級管理者の承認が必要です。
  • ワイヤレス ネットワークは、承認されたデバイスのみが使用できるようにデバイスの MAC コードをロックする必要があります。
  • 異なる接続 SSID を設定して、ユーザーのデバイスとニーズに応じて接続ホストの権限を制御します。
情報室の安全管理
  • コンピューター室への入退室には社員証をかざす必要があり、許可なく入退室することはできません。
  • 計算機室にはUPS無停電電源装置が設置されており、異常停電時には自動的にサーバーをシャットダウンすることができ、停電によるサーバーシステムの故障を防ぎます。
ウイルス対策ソフト
  • 新しいウイルスに感染する可能性を広げるために、さまざまなウイルス対策ソフトウェアを使用してください。
  • ウイルス対策ソフトウェアのウイルス コードを定期的に更新して、中毒のリスクを軽減します。
USBディスクアクセス制御
  • ユーザーのコンピュータはデフォルトで USB デバイスの使用を禁止されています。USB デバイスが公的な目的で必要な場合は、開く前に部門の最高責任者および部長の承認が必要です。
  • USB デバイスは、使用する前に情報省による認証とセットアップが必要です。認証されていない USB デバイスは、オープンな USB コンピュータでも使用できません。
オペレーティング システムのアップデート
  • オペレーティング システムのメジャー アップデートとセキュリティ アップデートは、自動アップデート システムによって一元的に管理され、自動的に配信され、会社のコンピュータにインストールされます。
  • 何らかの理由で情報部門の監視が更新されない場合は、情報部門が更新を支援します。
メールセキュリティ管理
  • 自動電子メール スキャン脅威保護機能を備えており、ユーザーが電子メールを受信する前に安全でない添付ファイル、フィッシング メール、スパム メールを防止し、悪意のあるリンクに対する保護範囲を拡大します。
  • PC が電子メールを受信すると、ウイルス対策ソフトウェアも安全でない添付ファイルがないかスキャンします。
ユーザーの電子メールセキュリティ制
  • ユーザーが送受信した外部メールの件数や内容をカウントし、異常な送受信状況を監視し、機密情報の漏洩を防ぐことができる。
ウェブサイト保護メカニズム
  • ウェブサイトには外部からのサイバー攻撃をブロックするファイアウォールが設置されています。
  • この Web サイトには、改ざんされたコンテンツを自動的に修正する落書き防止メカニズムが備わっています。
高可用性強化システム
  • すべての重要な情報システムに対して高可用性メカニズムが確立されています。 システム障害が発生した場合でも、最短時間でシステムを復旧できます。
情報システムとデータベースのバックアップ機構
  • 重要な情報 システム データベースは、毎日の完全バックアップと時間ごとの差分バックアップで構成されています。
  • 情報システムは 1 日 1 回完全にバックアップされます。
オフサイトストレージ
  • サーバや各種情報システムのバックアップファイルは、異なる工場の情報計算機室に分散して保管されています。
重要なファイルのアップロード サーバー
  • 社内のさまざまな部門からの重要なファイルはサーバーにアップロードされて保管され、情報部門によってバックアップおよび保存されます。
インフォメーションセンターチェックフォーム
  • 情報センターの点検記録シートには、コンピュータ室内の温度や湿度、データのバックアップ、ウイルス対策ソフトのアップデート、ネットワークトラフィックなどが記録されます。
従業員の情報セキュリティ意識の啓発
  • 新入社員は全員、「社員情報運用同意書」に署名し、社内外のさまざまな情報の送受信、アクセスに関するルールを理解する必要があります。
  • 不審なメールや添付ファイルを勝手に開かないよう従業員を教育するためのアナウンスや機密保持防止に関する説明会を随時発行しています。

情報セキュリティ管理にリソースを投資する

  • 情報部には計3名の情報セキュリティ管理責任者がいます。
  •  

  • 専門の情報セキュリティ ベンダーが、ファイアウォール接続ルールのバックアップと管理のコンサルティング、ウイルス対策とバックアップ システムの認証と管理のコンサルティングを支援し、高度な統合エンドポイント保護などのサービスを提供します。費用は月額 48,000 元、年間合計 582,000 元です。元。ウイルス対策ソフトウェアの認証に 304,000 元、バックアップ ソフトウェアの認証に 93,000 元、バックアップ サーバーなどの関連ハードウェア機器に 140,000 元が費やされました。
  •  

  • 関連する「情報セキュリティ教育・研修」は、全従業員を対象に年間2時間、延べ903名、1,806時間の研修を実施しています。 2023年の完成率は100%でした。