PRIVACY AND INFORMATION SECURITY

隱私與資通安全

Image
致伸集團致力保護客戶資訊安全,以維護客戶的權益。本公司針對客戶隱私致伸集團致力保護客戶資訊安全,以維護客戶的權益。本公司針對客戶隱私與機密資訊訂有管理程序,以「最小權限」為原則,與客戶專案相關並接觸機密敏感資料才可以通過內部申請取得存取資訊的權限,並由集團資安部門定期審查資安相關程序文件,確保適時更新符合客戶需求及要求之資通安全管理強度。
CYBERSECURITY ORGANIZATIONAL STRUCTURE

資通安全組織架構

為提升集團安全管理了成立集團資通安全部門,負責資通安全政策推動及資源調度事務,由專責資安同仁,確保資通安全各項管理規範與管控措施能有效持續地執行實施。

Image
PRIMAX GROUP'S CYBERSECURITY MANAGEMENT AND CONTINUOUS IMPROVEMENT FRAMEWORK

資通安全管理與持續改善架構

Image
CYBERSECURITY MANAGEMENT MECHANISM

資通安全管理機制

對於所有客戶隱私與機密資訊是以需者方知 (Need-to-know) 為基礎,並從人 (People)、流程 (Process) 與技術 (Technology) 三要素著手執行相關的保護機制與措施,摘要如下:

  • 對所有同仁,除新進同仁皆需接受資訊安全宣導外,本公司並定期實施資訊安全宣導及訓練,以強化同仁對客戶隱私與機密資訊的意識。
  • 成立直屬於事業部總經理的企業資訊安全組織,負責整合人、流程與技術等三要素,以最高規格看待客戶隱私與機密資訊,並確認相關活動與措施皆能落實,以確認客戶隱私與機密資訊其安全。
  • 所有同仁入職與離職前皆需簽屬保密聲明書,才能完成相關入離職手續。
  • 在某客戶的專案人員同意(授權)前,禁止將其相關資訊以任何形式向公司內、外的非相關人員透露,並以最小授權為原則
  • 從專案開始、進行中、結束到一直到產品停產的整個程序中,皆需保護客戶隱私與機密資訊。
  • 針對惡意程式(Malware)、殭屍網路(Botnet)、電腦病毒(Virus)、勒索軟體(Ransomware)、與駭客(Hack)入侵等資安威脅,持續強化網路安全設備、管理軟體及防毒防駭佈署,建立整個企業的防毒及防駭平台。
  • 所有的系統與客戶專案資訊皆有存取控管機制,只有因工作需要而被授權的人員能存取相關資訊。
CYBERSECURITY MANAGEMENT ACTIONS

資通安全管理作為

為符合內部資安規範與外部監管單位要求,集團已建立資訊安全管理系統及資通安全管理程序且已訂定 9 項資通安全目標,每月統計達成結果並保留相關記錄。

01

電線專線異常中斷時間

02

防毒軟體病毒碼更新達成率

03

工網路設備故障統計

04

資通訊設備未經授權變更次數統計

05

AD/郵件系統未經申請
而開立帳號事件

06

核心伺服器服務中斷時間

07

關鍵核心系統備份失敗

08

系統弱點掃描嚴重風險未修補

09

資訊安全事件次數統計

CYBERSECURITY RISK ASSESSMENT

資通安全管風險評鑑

本公司定期盤點、更新資訊資產,並且每年評鑑與資訊資產相關的風險,管控高風險項目,以降低風險發生的可能性及產生的衝擊,確保本公司資通安全的長治久安

落實相關改進措施範例
強化網路防火牆與網路控管
導入新技術加強資料保護及備份
依電腦類型建置端點防毒措施
加強釣魚郵件的偵測
定期執行社交工程郵件測試及員工資安意識訓練
Image
INTERNAL AUDIT OF CYBERSECURITY

資通安全內部查核

資通安全部門-資安稽核小組依據風險性訂定評估項目,每年會進行資通安全自行評估及檢核作業,並將評估結果及佐證資料,交稽核部覆核。本公司稽核部目前每半年執行一次資訊循環查核,其中資通安全為必要查核項目,並定期至少每年一次將所有查核結果分別向審計委員會及董事會報告。
PRODUCT R&D AND MANUFACTURING SAFETY

產品研發與製造安全

公司研發與製造單位一直以來,依據集團資通安全政策及客戶要求與期望,持續進行研發與製造業務,藉由實體與電子等各項管控流程,保護產品機密資訊與製程技術,同時維持客戶要求與相關第三方認證資格。
Image