增強數位韌性
因應全球資安風險與日俱增,遠東新世紀建置完善的資訊安全管理系統(Information Security Management System, ISMS),以達到資訊安全管理目標,並降低資訊安全事件所帶來之衝擊
隨著數位化時代來臨,商業活動日趨複雜,資安威脅日益嚴峻,如何在此變局中維持企業永續競爭力,成為世界各大企業面臨之重要課題。遠東新世紀因應資安管理需求趨動,並依據《公開發行公司建立內部控制制度處理準則》及《上市上櫃公司資通安全管控指引》, 於2022年成立資訊安全處及資安長職務推動各項資安管理工作,展現遠東新世紀積極落實資安防護決心。
設置資訊安全處專責推動資安管理工作
遠東新世紀於2022年11月9日經董事會通過,成立資訊安全處。資訊安全處專責推動資安管理工作,包括制訂與追蹤資安關鍵績效指標、資安維護以及教育訓練等,結合既有之資訊中心,共同負責本公司資安管理作業。
資訊安全管理組織架構
成立資通安全聯防推動小組及委員會
為強化與推動資安管理工作,本公司成立「資通安全聯防推動小組及委員會」,其中資訊安全處負責推動資安管理、資安監控與新興科技應用等工作,並由各單位組成資安聯防小組,目前涵蓋單位為行政總部人力資源處、會計處、財務處、法制室、秘書處、國際事務處、安全衛生處等,以及董事長辦公室,由各單位資安人員協助推動與落實各項資安工作,建構跨單位的資安整合防護架構。稽核處針對資安工作進行內部稽查,確保資安治理符合法規要求與內部控制制度,資訊中心負責資安設備維護工作。
整合資訊安全管理系統(ISMS)與企業營運持續管理(BCM)
本公司與其海外子公司自2014年起導入「ISO 27001資訊安全管理系統」,針對資訊授權、資料備份、系統開發、委外廠商管理、智慧財產權等制訂具體管理方案,並自2016年起每三年進行外部機構驗證,於2022年9月取得最新一次ISO 27001:2013證書,證書效期至2025年9月。本公司持續落實PDCA(Plan-Do-Check-Act)目標式管理循環推動資安管理制度。
此外,也積極推動「ISO 22301營運持續管理系統」,強化危機應變能力,確保營運連續性。在風險評估、危機管理計畫、資源調度等方面,本公司進一步提升數位韌性,子公司上海遠資信息技術於2023年12月,取得ISO 22301:2019證書,證書有效期至2026年12月。此認證整合資訊安全管理系統(ISMS)與企業營運持續管理(BCM),形成全面性的安全與營運體系,凸顯本公司對營運持續及資訊安全的雙重承諾。
強化資安管理
1. 建置資安事件處理標準程序
本公司已加入「台灣CERT/CSIRT聯盟」(註1),並建置資安事件處理標準程序,明訂相關流程與措施,包含通報處理程序及對應人員之職責,目標於最短時間內排除資安事故,並根據事故發生原因提出矯正預防計畫。2023年本公司無發生重大資安事故(註2),亦無資安事件造成之財務損失。
註:
1. 電腦緊急應變小組(Computer Emergency Response Team, CERT)、電腦資安事件應變小組(Computer Security Incident Response Team, CSIRT)
2. 重大資安事故為造成公司損害金額超過新台幣1億元
2. 落實資訊安全事故通報暨處理
導入資安事件監控服務,整合來自多種資安設備所產生的日誌記錄,如防火牆、入侵偵測系統、防毒軟體系統及端點偵測與回應,進行偵測、蒐集、分析和管理網路安全事件,以有效回應潛在的網路攻擊。落實統一彙整各種資安訊息,提供事前威脅的預警資訊、事中威脅的即時警告以及事後威脅的分析,有效管理各種資安警訊,確保發生資訊安全事故時有所依循,降低對關鍵資訊系統與重要資訊資產及作業的危害與損失。
3. 強化人員資訊安全管理及訓練
遠東新世紀除了針對員工舉辦資安課程教育訓練,宣導資安認知,同時也要求系統開發者及管理者遵循系統建置及安全管理之規範,並強化資安意識,降低資安風險。
4. 確保資訊安全防護有效性
為防範各類資安威脅,除採多層式網路架構設計加強防禦縱深外,更建置各式資安防護系統與威脅偵測應變機制,逐步體現情資分享、縱向溝通、回報與監控,提升整體資安治理成熟度,以降低資安風險。
推動供應鏈資訊安全管理
遠東新世紀為強化供應鏈資安防護韌性及建構安全可信賴之資安防護網,除參酌《上市上櫃公司資通安全管控指引》以制訂《遠東新供應商資通安全條款同意書》之外,另透過盤點核心系統並設計評級矩陣,將資通訊核心系統供應商資安成熟度依管理能力、防禦能力、偵測能力及反應能力分級,作為供應商管理之參考依據,一旦供應商發生資安事件,將即時觸發遠東新世紀的資安防護機制並全程監控。