ESG
    • CORPORATE GOVERNANCE

    永續治理

    CORPORATE GOVERNANCE

    資訊安全風險管理
    提高客戶價值是宜特存續的目的之一,作為專業技術服務公司,宜特深知提供準確與精確數據可以加快客戶研發進度,有鑑於相關分析資料皆屬客戶財產與心血結晶,務必妥善保管。
    資訊安全管理架構
    為確保宜特與客戶之資訊資產安全,宜特設置安全管控委員會,整合公司內部資源進行資訊安全風險評估,以及制訂年度資訊安全計畫與檢核標準。並協調相關資源以及跨單位活動,進行各項資安管制措施、人員年度資安教育訓練、資訊安全稽核作業。安全管控委員會每半年召開會議,檢視及決議資訊安全與資訊保護方針及政策,落實資訊安全管理措施的有效性,並得視資安風險管理需求隨時召開會議。安全管控委員會召集人代表安全管控委員會,每年向董事會報告一次。並於109年10月取得ISO/IEC 27001:2013資訊安全管理系統(Information Security Management System,ISMS)國際驗證,有效期至114年10月31日。
    由資安長 擔任安全管控委員會召集人,處級主管擔任委員會委員,各功能部門人員參與資訊安全執行小組、緊急處理小組、資訊安全稽核小組以及文管中心等,以上共計24人 。
    宜特透過三項作業方針–『建立專責資安組織』、『取得高階主管支持』、『落實全員參與』,並配合ISO/IEC 27001資訊安全管理系統相關要求,建立各項資訊安全管理措施,例如資訊安全政策、管理程序以及作業規範,以期維護宜特、客戶之資訊資產安全與利益。
    資安政策與具體管理方案
    資訊安全政策願景 資訊安全目標
    強化人員知能 辦理資訊安全教育訓練,推廣人員資訊安全之意識與強化其對相關責任之認知。
    避免資料外洩 保護宜特科技業務活動資訊,避免未經授權的存取與修改,確保其正確完整。
    落實日常維運 定期進行內部與外部稽核,確保相關作業皆能確實落實。
    確保服務可用 確保宜特科技關鍵核心系統維持一定水準的系統可用性。
    宜特藉由『建立多面向資訊安全訊息傳達』、『落實資安教育訓練』提升人員之資安意識以及整體資安韌性。
    宜特資訊安全技術措施以四大面向進行規劃與實施,持續強化資安防護能力。
    投入資安管理資源
    為達成資安政策願景,宜特投入相關資源進行以下資安防護措施:
    資安防護措施
    強化人員知能
    • 資安教育訓練:新人到部當天須完成新人資訊安全教育訓練,之後每人每年度須進行回訓。
    • 強化資安意識:不定期發送資安電子報或是資安公告,協助同仁掌握資安規範以及了解外界資安攻擊樣態。
      112年度發送18封。
    • 社交攻擊演練:每年舉行社交攻擊教育訓練,並舉辦釣魚信件測試,驗證同仁資安意識。
      112年度舉辦一次釣魚信件測試。
    • 尊重智慧財產權:禁止使用非法或是破解、免安裝軟體。
    • 提升資安技能:指派資安技術人員,不定期參加外部資安工具訓練或是駭客攻防技術課程,以加強資安素養與技能。
      112年度共計 平均每人10.16小時。
    避免資料外洩
    • 文件加密:導入文件加密軟體,妥善保護與降低機密資料檔案外洩機會。
    • 權限控管:檔案操作依照必要性進行存取權限設定並定期檢討。
    • 網路管理:對網路流量異常進行警示與查核、對外傳輸資料,必須經過申請核准。
    • 存取管制:禁止攜入私人儲存裝置、禁止私人設備進行拍照或錄影、USB port禁止使用儲存裝置。
    落實日常維運
    • 查核與改善:定期進行系統查核與改善,導入新技術來加強資料防護。透過定期內部稽核以及外部資安驗證單位稽核,確保符合管理制度要求,112年度內部稽核1次、外部驗證稽核1次、資訊安全執行小組每月舉行檢討會議。
    確保服務可用
    • 備份管理:重要系統進行備份管理,依照年度計畫新購或是升級資安。
      112年度完成一次備份還原測試。
    • 資安防護:為強化內外部網路攻擊防護,進行防火牆政策調整與審核、啟動網路入侵偵測、防毒系統定時更新、漏洞修補與維護。對重要主機加強防護,導入微分子防火牆,強化橫向防禦。加入科學園區資安資訊分享與分析(SP-ISAC)、TWCERT/CC,接收重大情資分享,進行資安聯防。
      112年度完成一次弱點掃描與並盡可能修復資訊系統漏洞。
    資訊安全風險管理
    提高客戶價值是宜特存續的目的之一,作為專業技術服務公司,宜特深知提供準確與精確數據可以加快客戶研發進度,有鑑於相關分析資料皆屬客戶財產與心血結晶,務必妥善保管。
    資訊安全管理架構
    為確保宜特與客戶之資訊資產安全,宜特設置安全管控委員會,整合公司內部資源進行資訊安全風險評估,以及制訂年度資訊安全計畫與檢核標準。並協調相關資源以及跨單位活動,進行各項資安管制措施、人員年度資安教育訓練、資訊安全稽核作業。安全管控委員會每半年召開會議,檢視及決議資訊安全與資訊保護方針及政策,落實資訊安全管理措施的有效性,並得視資安風險管理需求隨時召開會議。安全管控委員會召集人代表安全管控委員會,每年向董事會報告一次。並於109年10月取得ISO/IEC 27001:2013資訊安全管理系統(Information Security Management System,ISMS)國際驗證,有效期至114年10月31日。
    由資安長 擔任安全管控委員會召集人,處級主管擔任委員會委員,各功能部門人員參與資訊安全執行小組、緊急處理小組、資訊安全稽核小組以及文管中心等,以上共計24人 。
    宜特透過三項作業方針–『建立專責資安組織』、『取得高階主管支持』、『落實全員參與』,並配合ISO/IEC 27001資訊安全管理系統相關要求,建立各項資訊安全管理措施,例如資訊安全政策、管理程序以及作業規範,以期維護宜特、客戶之資訊資產安全與利益。
    資安政策與具體管理方案
    資訊安全政策願景 資訊安全目標
    強化人員知能 辦理資訊安全教育訓練,推廣人員資訊安全之意識與強化其對相關責任之認知。
    避免資料外洩 保護宜特科技業務活動資訊,避免未經授權的存取與修改,確保其正確完整。
    落實日常維運 定期進行內部與外部稽核,確保相關作業皆能確實落實。
    確保服務可用 確保宜特科技關鍵核心系統維持一定水準的系統可用性。
    宜特藉由『建立多面向資訊安全訊息傳達』、『落實資安教育訓練』提升人員之資安意識以及整體資安韌性。
    宜特資訊安全技術措施以四大面向進行規劃與實施,持續強化資安防護能力。
    投入資安管理資源
    為達成資安政策願景,宜特投入相關資源進行以下資安防護措施:
    資安防護措施
    強化人員知能
    • 資安教育訓練:新人到部當天須完成新人資訊安全教育訓練,之後每人每年度須進行回訓。
    • 強化資安意識:不定期發送資安電子報或是資安公告,協助同仁掌握資安規範以及了解外界資安攻擊樣態。
      112年度發送18封。
    • 社交攻擊演練:每年舉行社交攻擊教育訓練,並舉辦釣魚信件測試,驗證同仁資安意識。
      112年度舉辦一次釣魚信件測試。
    • 尊重智慧財產權:禁止使用非法或是破解、免安裝軟體。
    • 提升資安技能:指派資安技術人員,不定期參加外部資安工具訓練或是駭客攻防技術課程,以加強資安素養與技能。
      112年度共計 平均每人10.16小時。
    避免資料外洩
    • 文件加密:導入文件加密軟體,妥善保護與降低機密資料檔案外洩機會。
    • 權限控管:檔案操作依照必要性進行存取權限設定並定期檢討。
    • 網路管理:對網路流量異常進行警示與查核、對外傳輸資料,必須經過申請核准。
    • 存取管制:禁止攜入私人儲存裝置、禁止私人設備進行拍照或錄影、USB port禁止使用儲存裝置。
    落實日常維運
    • 查核與改善:定期進行系統查核與改善,導入新技術來加強資料防護。透過定期內部稽核以及外部資安驗證單位稽核,確保符合管理制度要求,112年度內部稽核1次、外部驗證稽核1次、資訊安全執行小組每月舉行檢討會議。
    確保服務可用
    • 備份管理:重要系統進行備份管理,依照年度計畫新購或是升級資安。
      112年度完成一次備份還原測試。
    • 資安防護:為強化內外部網路攻擊防護,進行防火牆政策調整與審核、啟動網路入侵偵測、防毒系統定時更新、漏洞修補與維護。對重要主機加強防護,導入微分子防火牆,強化橫向防禦。加入科學園區資安資訊分享與分析(SP-ISAC)、TWCERT/CC,接收重大情資分享,進行資安聯防。
      112年度完成一次弱點掃描與並盡可能修復資訊系統漏洞。