鑽石生技對資訊安全管理權責單位為資安組,設有資訊主管乙名與資安工程師乙名,負責制定資訊安全政策暨執行計畫,並推動作業落實與檢討改善,每季向總經理報告公司資安管理現況。資訊部為落實資安防禦政策及規定,並執行資產弱點掃描修補工作。
鑽石生技對資訊安全管理設置監督單位,稽核室為權責單位,設有稽核主管乙名,負責抽核資安政策執行情況,並追蹤缺失改善計畫執行成效,相關分工如左圖示。
鑽石生技資安政策共包含下列四個方針:
(一)制定管理辦法 : 用以標準化規範同仁行為準則。
(二)資訊技術 : 導入先進軟硬體,有效防止資安事件。
(三)推廣與改善 : 提升同仁資安觀念與強化自我保護意識,並不斷修正日新月異的資安執行政策。
(四)加入資安聯防機制 :加入資安聯盟組織,強化主動防禦策略。
資通安全具體管理措施
(一)制定管理辦法
本公司共制定如下管理辦法,以確保資安落實:電腦軟體使用辦法、防火牆管理辦法、資訊管理辦法、電腦資訊備份作業、緊急復原辦法及資通安全政策等。
(二)資訊技術
本公司在資訊安全防護上,加強軟體與硬體方面多層次防護,其中包含,帳號複雜性密碼驗證、主機與用戶端防毒、惡意網站防護、防火牆阻擋、主機資料備份、備份資料加密等。
(三)推廣與改善
本公司每年舉行資安宣導與教育訓練共3小時,每年進行1次災害演練,由資安組每季向總經理報告公司資安管理現況並適時調整作業規範;每年配合風險管理評估作業提出報告,偕同風險管理小組開會討論後整合呈報董事會;另稽核室每年向總經理報告稽核缺失改善成效與追蹤事項。
(四)加入資安聯防機制
為強化主動防禦策略,鑽石生技已於2022年9月加入TWCERT/CC資安聯盟,不定期透過該平台進行網駭情資交換,期藉由該聯防機制,擴大公司資安防禦廣度。
資安事件通報程序如下:
資通安全教育訓練統計
(一)不讓駭客抓住你的手:針對鑽石全體員工進行1.5小時教育訓練,目的在於提升同仁對於駭客入侵行動裝置的認識,並針對行動裝置APP的使用及安裝提供建議,提升同仁對駭客入侵行動裝置的資安防護意識。
(二)教育訓練統計:
年度:2023年
|
資安教訓訓練課程名稱 |
對象 |
參與 |
該門課訓練時數 |
涵蓋率 |
|
不讓駭客抓住你的手 |
全體員工(21人) |
15 |
1.5小時 |
78% |
四、重大資安違規、資料洩漏、因資訊洩漏受影響員工或客戶及因資安事件遭裁罰統計表如次:
年度:2018-2023年
|
分類 |
2018 |
2019 |
2020 |
2021 |
2022 |
2023 |
|
重大資安違規情形發生件數 |
0 |
0 |
0 |
0 |
0 |
0 |
|
資料洩漏發生件數 |
0 |
0 |
0 |
0 |
0 |
0 |
|
因資訊洩漏致受影響的員工或客戶數(人) |
0 |
0 |
0 |
0 |
0 |
0 |
|
因資安事件被罰之金額(台幣) |
0 |
0 |
0 |
0 |
0 |
0 |
