ESG永續發展

ESG永續發展

誠信治理

資安與營業秘密保護

資安與營業秘密保護

凌巨科技重視資訊安全並建置完整資安防護與資料保護機制,避免發生機密資訊外洩或資料毀損等風險,內部制定相關資安防控機制、應用技術和數據安全標準,針對公司重要系統建立資料備份機制,每月更新辨識漏洞防禦系統、將郵件偽冒情資同步網路防禦系統、凌巨導入端點及伺服器防禦系統 EDR 及 MDR,運用電腦行為及病毒碼同時監測異常。

重大資通安全事件
  • 凌巨科技於膽2024 年度未有重大資安事件之發生,也未有因資安事件造成公司的損失影響。

企業資訊安全治理組織

公司設立「資訊安全委員會」,由資安委員會主任委員擔任召集人及各單位代表組成,負責制定公司資訊安全政策,並核定資訊安全計畫、統籌資源調度、負責資訊安全相關工作之推動等事項,每年定期召開資訊安全工作會議或視需要隨時召開或延長。

公司企業資訊安全組織架構

  • 本公司為推動各單位強化資訊安全管理,建立安全及可靠之資訊作業環境,特設置資訊安全委員會。
    權責範圍包括下列各項:
    1. 資訊安全政策之研擬。
    2. 資訊安全管理制度之建立與推動。
    3. 建立資訊安全執行小組、協調各組資訊安全事項權責分工、監督小組工作執行狀況。
    4. 定期舉辦審查會議,討論資訊安全管理制度實施情形,以及相關之預防與矯正措施。
    5. 資訊安全事件之檢討及監督。
    6. 其他重要資訊安全事項之協調研議。

資安與營業秘密保護

資通安全政策

確保及強化本公司所屬之資訊資產的機密性、完整性及可用性,加強公司員工對資訊安全之認知,並符合相關法規之要求,使公司免於遭受內、外部的蓄意或意外之威脅。

為推動與落實各項資安管控措施,資訊安全小組負責每年定期或視需要召開會議,規劃及推動各項資安任務,執行安全檢查,適時調整資源及作出資訊安全管理改善之方向及措施。資訊安全稽核小組則負責資訊安全稽核作業之任務,提出資訊安全稽核報告和相關建議予資訊安全委員會。此外全體員工均接受資訊安全相關教育訓練並遵守公司資訊安全相關規定。

資通安全具體管理方案

資通安全具體管理方案如下:

1. 公司資產依屬性進行分類,其使用與管理,依機密分級採取適當之控制措施。並製作『資訊資產清冊』,指定專人保管,且定期檢視清冊正確性,落實各項管控措施。除每年辦理資訊安全教育訓練計畫,所有新進人員需接受資安訓練並通過測驗。
2. 建立資訊機房實體及環境安全防護措施,並定期施以相關維護及保養。
3. 制定通訊與作業安全管理措施,包含網路安全管理、資訊設備管理、一般設備管理、資料及軟體交換之安全管理。
4. 明確規範可攜式設備、軟體使用、帳號及密碼及備份之存取控制之權限,防止未經授權之存取動作。
5. 資訊系統取得、開發及維護須依公司相關規定辨理,防範危害資訊安全之情況發生。
6. 已制定資訊安全事件管理之應變處理程序規定。
7. 每年定期實施內部稽核,進行資訊安全稽核與矯正預防管理。

投入資通安全管理之資源

對應資訊安全管理事項及投入資源如下:

  • 資訊安全管理執行成效

    資訊安全管理執行成效如下:

    • 1. 升級資安防禦系統及設備:
      • (1) 端點防禦:2022年將傳統防毒軟體全面升級為EDR 防禦系統。
      • (2) 伺服器防禦:2022年導入 MDR 防護,及全年無休 24 小時資安專家維運。2024年進行伺服器弱點掃描,每季一次進行伺服器弱掃,將此次弱掃風險值高於中高以上的伺服器,進行漏洞修補,並完成事件改善單的簽核。
      • (3) 郵件防護系統升級:2023年全面升級更新郵件系統,新郵件防護系統包含偽冒辨識、行為偵查、APT 防禦等新式防護功能,可降低郵件資安漏洞發生。2024年進行郵件傳送加密,啟用SPF、DKIM 與 DMARC 驗證機制,對郵件的連結/ 附件進行沙盒分析,攔阻不安全的內容。
      • (4) 異地備援:2024年每日透過排程時間將頭份與八德廠的檔案透過網路儲存伺服器工具做異地備份,且兩廠之間透過會再透過一台實體主機將網路儲存伺服器上的檔案再次備份製主機上做離線備份。
      • (5) DR 演練:2024年每半年進行一次重要核心系統DR 演練,演練系統故障,災後復原,驗證前次製作的SOP 文件是否完善並簽核歸檔。
    • 2. 專責人力:設有專職之「資訊安全部」,設有資安主管兩名名及資安人員一名,負責公司資安架構設計、資安維運與監控、資安事件回應與調查、社交工程演練、災害復原演練、協助資安委員會資安政策展開工作等。
    • 3. 教育訓練:
      • (1) 所有新進員工到職一周內完成新人資訊安全訓練,完成度:100%。
      • (2) 全體集團員工每年須進行至少一次資安訓練課程,完成度:100%。
      • (3) 每季一次社交工程演練,及社交工程後調訓,完成度:100%。
    • 4. 資安公告:
      • (1) 每月定期公告資安委員會會議要項,讓所有員工了解公司資安防禦狀況及成效,傳達資安的重要性。
      • (2) 因應內外部資安事件,每月不定期進行資安宣導公告,以提升同仁資安警覺性。
    • 5. 客戶滿意:無重大資安事件,無違反客戶資料遺失之投訴案件。

資訊安全指標項目:

依金管會ESG資訊揭露指引,持續強化資訊安全管理,2024年達成所有資安指標目標,包括無資安或網路安全事件、無資料洩漏、無涉及個資之違規情事,亦無遭罰紀錄

智慧財產權運作面向

營業秘密管理

營業秘密管理是公司為了保護有經濟價值,外洩對公司會造成一定影響,以及防止競爭對手或不當第三方取得和使用這些資訊的制度。涵蓋了法律、技術與管理層面的各種措施,確保公司的機密資訊不會被未經授權的人員取得或濫用。本公司訂有機密資訊管理辦法依文件的等級,規範各接觸人員在傳遞及存取的權限,以及機密文件解密及銷毀的流程,對機密文件採取相應的保密措施。與公司員工簽訂保密協議,不定期的宣導保密意識、與客戶及重要供應商交易時,雙方應明確約定智慧財產權條款及保密義務,不得透漏予任何第三人,並就該等內容與合作方簽署保密協議,並告知其為公司有價值的機密資訊,應依保密程序管理,透過機密管理措施,降低機密外洩可能性,並有助於提高外部合作方的信任度。

資安與營業秘密保護