資通安全治理

 

葡萄王生技股份有限公司(以下簡稱本公司)於108年成立「資訊安全暨個人資料管理委員會」,以有效推動與辦理本公司內部資訊安全與個人資料保護管理事項,包括審核資訊安全政策與個人資料檔案安全維護計畫、分配資訊安全與資料保護之責任及協調本公司各項資訊安全措施之實施,以利資訊安全暨個人資料保護管理制度能持續穩健運作,並定期(至少一年一次)向董事會報告。

資通安全暨個人資料保護管理委員會組織架構

 

本公司為建立適當管理架構,以有效推動與辦理內部資訊安全與個人資料保護管理事項,成立「資訊安全暨個人資料管理委員會」,其權責包括審核資訊安全政策與個人資料檔案安全維護計畫、分配資訊安全與資料保護之責任、及協調各項資訊安全措施之實施,以利資訊安全暨個人資料保護管理制度能持續穩健運作。

 

「資訊安全暨個人資料管理委員會」下「資安暨個資小組」由研發處、製造處、供應鏈、營業處、財務處、管理處等各處主管代表組成,並每年定期於董事會彙報資安管理成效資安相關議題及方向。其權責包括研議資訊安全管理規範、推動資訊安全活動、辦理資訊安全教育訓練、建立風險管理制度,執行風險管理、建立安全事件緊急應變暨復原措施、追蹤內、外部資訊安全查核後之改善事項及矯正預防措施、就資訊安全事件之紀錄,分析事件發生頻率與研擬改善措施,彙整適用之資訊安全相關之法令規定,建立風險管理制度,執行風險管理。

 

資通安全風險政策

 

依據「國際標準ISO 27001」相關規範,並衡酌本公司之業務需求建立資訊安全管理策略,以強化資訊安全管理,建構符合本公司資訊安全管理之資訊安全政策,並確保本公司資訊資產之機密性、完整性、可用性符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅。

 

透過涵蓋本公司全體同仁、委外人員、以及所有相關資訊資產之安全管理,定期召開例行會議,依據規劃、執行、查核與行動(Plan-Do-Check-Act, PDCA)的管理循環機制,檢視資訊安全政策適用性與保護措施,並定期與資訊安全暨個人資料管理委員會回報執行成效。

 

資訊安全政策每年配合政府法令、環境、業務與技術之變動評估檢討,其修正應經資訊安全暨個人資料管理委員會核定後公告實施。

 

本公司資通安全管理目標:

 
  • 資通安全是本公司達成法定任務的要素之一,本公司需維護高度之資通安全等級,以確保資通資產的機密性、完整性、可用性。
  • 維護本公司作業環境資訊安全之一致性,並兼顧資通安全與資訊分享。
  • 各項資通安全管理規定,須符合政府資通安全相關法令、規定與政策要求。
  • 所有資通作業相關措施,須確保本公司資通之安全,防止敏感性與機密性資料外洩或遺失。
  • 適當保護資通資產(含軟體、硬體、網路通訊設施及資料庫等),採行合宜之備援回復設施及作業,防止未經授權或因作業疏忽對資通資產所造成之損害,並定期演練前項備援回復作業。
  • 本公司執行之專案,應有適當資通安全管理措施,以確保相關資通受到適當保護。
  • 定期實施資通安全教育訓練,加強資通安全政策宣導。

資通安全風險管理

 

於推動資通安全管理制度相關規範時,須全面廣泛地了解本公司全景及利害關係者之需要與期望,以順利界定資通安全方針。

 

依據本公司最高管理階層對組織營運宗旨與目標之看法與共識,鑑別本公司使命、核心價值(價值觀)、願景及營運目標,針對核心業務流程及重要工作項目所鑑別出利害關係者的每一項需要與目標,進行分析「當未符合利害關係者的需要與目標」時,可能造成的衝擊情境與等級,以決定是否採取適當之因應對策或接受風險,並透過ISO27001控制條款之風險處理對策,妥善分析處置每一項所鑑別之需要與目標,進行風險管理。

 

資訊安全委員會同時應考量若未滿足利害關係者之需要與目標時,可能對本公司所造成之衝擊,將各項需要與目標納入資訊安全管理系統(Information Security Management System, 以下簡稱ISMS)實施或驗證範圍,依據本公司資訊安全風險管理相關程序辦法,載明於本公司ISMS「適用性聲明書」中。

資通安全具體管理方案

 

本公司透過四階段掌控資通安全:「規劃階段」著重資安風險管理,建立完整的資訊安全管理系統(Information Security Management System, ISMS) ,本公司已於112年5月27日重新驗證再次取得ISO27001認證,新證書效期為112年5月27日至114年10月31日,並持續推動各廠區持續通過國際資安管理系統認證(ISO/IEC 27001),從系統面、技術面、程序面降低企業資安威脅,建立符合客戶需求、高規格的機密資訊保護服務。「執行階段」則建構多層資安防護,持續導入將資安防禦創新技術,將資安控管機制整合內化於軟硬體維運、供應商資安管理等平日作業流程,系統化監控資訊安全,維護公司重要資產的機密性、完整性及可用性。「查核階段」積極監控資安管理成效,依據查核結果進行資安指標衡量及量化分析,並透過定期模擬演練資安進行資訊安全評估。「行動階段」則以檢討與持續改善為本,落實監督、稽核確保資安規範持續有效。同時考量資通安全事件通報應變及情資評估因應,已加入如下資安情資分享組織,取得資安預警情資、資安威脅與弱點資訊。

  • 科學園區資安資訊分享與分析中心(SP-ISAC)
  • 臺灣電腦網路危機處理暨協調中心(TWCERT/CC)
 


資訊安全事故通報及處理流程

 

本公司訂有「資訊安全事故管理程序」,為確保於資訊安全事故發生時,能迅速依通報程序進行通報,並採取必要之應變措施,降低事件可能帶來之衝擊與損害,資安事故之應變處理皆有明確定義及規範。

資訊安全事故分級

 
事故等級 影響程度 事故分級定義 通報時段 通報層級
3級事故 重大 符合以下其中之一者:
  • 重大/緊急事故涉及高隱私權衝擊、機密或敏感公務資料遭洩漏。
  • 重大/緊急事故涉及核心業務系統或資料遭嚴重竄改。
  • 一般安全事故涉及核心業務運作遭影響或系統停頓,無法於回復目標時間內回復正常運作。
7x24
小時
董事長、資訊安全暨個人資料管理委員會執行單位主管、權責單位主管
2級事故 注意 符合以下其中之一者:
  • 重大/緊急事故涉及非屬高隱私權衝擊、機密或敏感之核心業務資料遭洩漏。
  • 重大/緊急事故涉及核心業務系統或資料遭輕微竄改。
  • 一般安全事故涉及核心業務運作遭影響或系統停頓,可於回復目標時間內回復正常運作
資訊安全暨個人資料管理委員會執行單位主管、權責單位主管
1級事故 輕微 符合以下其中之一者:
  • 重大/緊急事故僅涉及非核心業務資料遭洩漏。
  • 重大/緊急事故僅涉及非核心業務系統或資料遭竄改。
  • 一般安全事故僅涉及非核心業務運作遭影響或短暫停頓。
權責單位主管

112年度投入資通安全管理情形

 
  • 設置資通安全人員:4名
  • 認證、授權支出及設備投入共計697萬元。
  • 定期進行資安內部與外部稽核。
  • 不定期資訊安全宣導及定期(每2週)執行電子郵件社交工程演練,加強員工對於資訊安全風險之應變與警覺性。
  • 因應ERP網路架構變更,實施企業營運持續計劃演練。
  • 雲端異地備份與還原測試1次。
  • 資訊安全暨個人資料管理委員會召開1次會議。
  • 永續發展暨ESG委員會資安管理工作小組永續目標進度會議4次。
  • 依據ISMS制度導入計畫,已於112年5月27日重新驗證取得ISO27001認證。(有效效期:112/5/27~114/10/31)
  • 資訊安全治理執行情形已於113年1月19日第20屆第15次董事會報告
  • 最近年因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實:本公司112年度未發生重大資通安全事件,但仍秉持著防範未然之心態持續編列適當的預算強化資訊技術安全,以降低公司被惡意軟體攻擊的風險。