資通安全風險管理架構

  • 中天生技針對資通安全管理責由資訊部成立資通安全委員會,由董事長擔任召集人,並設立資通安全管理代表一職,委員會下設資通安全小組及內部稽核小組,共同制定資通安全政策(以下簡稱本政策)暨執行計畫。資通安全小組每季向資通安全管理代表報告公司資安管理現況,每年檢討資安政策。另外由內部稽核小組(稽核室)負責稽核,每年定期執行抽核資安政策執行情況,並追蹤缺失改善計畫執行成效。
  • 2023年資通安全小組設有2人,內部稽核小組設有2人,期間召開1次資通安全會議,年內並未發生重大資通安全違規事件。

 

資通安全政策與方針

中天生技資通安全政策共包含下列四個方針:

一、制定管理辦法: 以標準化規範同仁行為準則。

二、資訊技術: 導入先進軟硬體,有效防止資安事件。

三、推廣與改善: 提升同仁資安觀念與強化自我保護意識,並不斷修正日新月異的資安執行政策。

四、加入資通安全組織: 參加官方或民間資通安全組織,強化資安情訊蒐整能量,提升主動防禦機制。

 

資通安全目標

為維護中天生技資訊資產之機密性、完整性與可用性,中天生技期藉由資通安全政策之實施以達成下列目標:

(一) 建立安全及可信賴之資訊化作業環境,確保本公司資料、系統、設備及網路之安全,以保障本公司業務永續運作。

(二) 保護本公司業務服務之安全,確保資訊需經授權人員才可存取資訊,以確保其機密性。

(三) 保護本公司業務服務之安全,避免未經授權的修改,以確保其正確性與完整性。

(四) 建立本公司業務永續運作計畫,以確保本公司資訊業務服務之持續運作。

(五) 確保本公司各項業務服務之執行須符合政府相關法令(如:資通安全管理法、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)規範之要求。

(六) 為保護本公司業務相關個人資料之安全,免於因外在威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失、或洩漏等風險。

(七) 提升對資訊資產之保護與管理能力,降低營運風險。

 

資通安全具體管理措施

中天生技資通安全具體管理措施如下:

(一)制定管理辦法

中天生技為健全資通安全管理制度,於2022年10月份通過ISO 27001認證,並已於2022年底取得證書,藉由國際資安管理標準落實相關管理制度,以提升同仁資通安全意識,建立正確的電腦網路使用準則。目前已分別制定資安政策及相關管理程序書如下:資通安全政策、資通安全組織與目標管理程序書、資訊資產管理程序書、資通安全風險評鑑、實體安全、作業安全、存取控制、資通安全事件管理等相關程序書及說明書。

(二)資訊技術

本公司在資訊安全防護上,加強軟體與硬體方面多層次防護,其中包含:帳號複雜性密碼驗證、主機與用戶端防毒、上網行為管理/惡意網站防護、防火牆阻擋、主機資料備份、資料加密、網路IP管理等防護措施。

(三)推廣與改善

為提升同仁資通安全觀念與強化自我保護意識,每年至少辦理1次資通安全管理審查會,針對年內相關資安制度與事件進行監督與管制,另每年至少舉行資通安全宣導3小時以及資通安全事件通報演練1次。2023年共計3場次全體員工資通安全宣導,包含不讓駭客抓住你的手、個資保護及智慧型手機安全防護、AI應用實務及資安、個資防護等課程,並完成2人次ISMS 27001:2022轉版訓練課程。此外,2023年共計執行4次電子郵件社交工程演練,以提升公司人員資安意識。

(四)加入資安聯防機制

中天生技已於2022年9月加入TWCERT/CC資安聯盟,並於2023年8月加入中華民國資訊軟體協會-資安長聯誼會,不定期透過上述平台進行網駭情資交換,期藉由聯防機制,網駭情資共享,擴大公司資安防禦廣度,及強化資安韌性。

 

 

 

除上述課程外,所有新進員工新人訓練皆必須完成資訊安全教育訓練課程。資訊部亦不定期發出資安提醒,2023年共製13份資安宣導提醒,傳達資通安全防護重要規定與注意事項。1

導入ISO27001 ISMS制度

為展現中天生技對於資安的重視程度,並與國際資安標準接軌,中天生技已於2022年第二季導入ISO 27001 Information Security Management System(ISMS),並於2022年8月初成立資通安全管理委員會,由董事長為委員會召集人,授權管理代表推動資通安全管理及運作、重要資訊保護措施、災害演練與執行計畫等。

此次導入ISO驗證項目,包含系統與管理面,執行項目包含風險評估、弱點修復、安全防護、風險驗證、資產清查及風險評鑑及人員教育訓練等工作項目,期符合國際資訊安全管理規範。2022年10月已完成ISO 27001資訊系統管理認證,並已於2022年12月取得證書,2023年已由第三方驗證單位完成年度續評,證書有效期至2025年12月。