資通安全
商丞科技通過 ISO / IEC 27001 資訊安全認證
商丞科技身為第一線為客戶提供整合方案及技術支援的專業廠商,深知資訊系統安全對於企業營運的重要性及影響性,商丞科技系統化的建置資訊安全防護機制,通過 ISO / IEC 27001 資訊安全認證,提供企業及客戶更安全、可信賴的資訊服務。
通過 ISO / IEC 27001 資訊安全認證,說明商丞科技能鑑別資訊安全弱點,透過建立有效的因應計劃與管控系統,及培養人員的資訊安全專業能力及資訊安全共識,來因應公司內外部可能遭遇之資訊安全威脅,以確保企業能於最低風險下持續營運。
商丞科技儲存事業群,為國內知名的網路儲存設備製造商,研發設計、生產銷售具有創新技術、品質優異的網路儲存/雲端儲存方案,產品屢獲國內外各大獎項,產品應用遍及監控、資料中心、雲端及多媒體影音等各個需求高效能儲存解決方案的市場,產品除行銷台灣並外銷至中國大陸、亞太與歐美各地。
商丞科技秉持著提供客戶最高品質的服務理念,以豐富的實務經驗、卓越的技術提供軟硬整合的產品及專業化的系統整合服務。同時,商丞科技特引進國外資料保護軟體,提供防禦機制來降低企業資安風險。以提供從方案設計到系統安裝、資安規劃、系統中心管理的全套解決方案。
資通安全風險管理架構
有鑑於資通風險可能造成的損失恐致難以估計,本公司為了有效執行資通安全政策及相關管理方案,由總經理召集成立跨部門「資訊安全管理小組」,資訊部負責主導與規劃,其他相關單位配合執行,透過組織的職責分工、任務編組,有系統、有組織的推行與運作資訊安全管理系統,以因應及建立資通安全所需之政策及預防措施。
「資訊安全管理小組」之組織架構與職責分工如下:
1、召集人:為該小組之最高主管,由總經理擔任,負責核准資訊安全政策、提供資源與審查重要資安措施。
2、資訊安全主管:由資訊部副總經理擔任,負責制定資訊安全政策,規劃、協調、執行、審查與改進資訊安全管理系統。
3、資訊資產管理人:由各事業群資訊資產管理人擔任,負責規劃與實施各項資安控制措施以保護資訊資產的安全,包含風險評鑑、風險處理與資安控制措施執行。
資通安全政策:『資訊安全為客戶信任、滿意的唯一法則』
本公司為確保資通安全之目標,並落實資通安全之意識與行動原則,本公司全體人員均秉持『資訊安全為客戶信任、滿意的唯一法則』的精神,透過持續努力及改善,確保客戶與公司資訊資產之機密性、完整性及可用性,使其資通安全管理系統得以建立及維持有效的保障,以提供本公司之業務持續運作環境,並符合相關法規之要求,確保客戶與公司資訊資產免於遭受內、外部的蓄意或意外之威脅,進而達成資通安全政策之目標如下:
1、確保資訊資產的機密性
(1) 防止未經授權的人員存取公司資訊資源。
(2) 保護敏感資料,避免洩漏或不當公開。
2、維持資訊資產的完整性
(1) 確保資料在傳輸、儲存和處理過程中的準確性和一致性。
(2) 防範資料因惡意行為或系統錯誤而被篡改或損壞。
3、提升資訊系統的可用性
(1) 確保關鍵系統和服務在業務需要時能正常運作。
(2) 減少因安全事件或系統故障導致的停機時間。
4、落實合規要求
(1) 符合國內外資通安全法規和業界標準 (如ISO 27001、NIST CSF)。
(2) 確保公司資訊安全實踐符合業務夥伴及客戶的要求。
5、提高資安事件的應對能力
(1) 建立有效的資安事件偵測、通報與應變機制。
(2) 降低資安事件對公司業務的影響,並加速恢復運作。
6、加強員工的資通安全意識
(1) 定期舉辦資安教育訓練,讓員工了解最新的資安威脅與防範措施。
(2) 培養全體員工主動參與資安管理的文化。
7、推動持續改進
(1) 定期評估並改進資通安全措施,以應對新興威脅。
(2) 利用審計與分析結果,優化資安管理流程與技術解決方案。
資通安全具體管理方案
本公司為達成資通安全政策與目標,落實全面性的資安防護,已建立相關之具體管理方案如下:
1、提升資安防禦能力
(1) 定期檢視本公司之資訊硬體與環境,以降低資安風險。
(2) 定期評估可能危害本公司資通安全之內部人為及外部環境變化之風險,以確保本公司營運之穩定運作。
(3) 建立及提升本公司員工之資通安全風險意識,以落實所有同仁確實遵循資通安全相關規範,並預防可能之資通安全風險。
2、網路服務之安全控管
網路使用者經授權後,只能在授權範圍內存取網路資源。
3、網路資訊之管理
如具有敏感等級及機密等級之業務資料或文件,不得存放於公共資料區,若因特殊之需求,必須採取加強之安全管控機制。
4、網路連線作業
以分隔區域、隱藏資訊、限定服務等方式達到維護網路安全之目標。
5、網路系統通道設定
設定網路區隔之規劃,應遵循內外網路實體區隔規定。
6、網路安全管理作業
應用服務系統網路與網際網路之間以防火牆(路由器)作為分隔。
資通安全風險與因應措施
本公司建立了一套完整的網路及電腦安全防護系統,以控管或維持本公司的製造營運及會計等重要企業運作的功能,但無法保證其電腦系統能完全避免來自任何第三方癱瘓系統的網路攻擊,如DDos(Distributed Denial of Service)攻擊、勒索軟體、社交工程攻擊、仿冒網站等。這些網路攻擊以非法方式入侵公司的內部網路系統,進行破壞公司之營運及損及公司商譽等活動。在遭受嚴重網路攻擊的情況下,本公司的系統可能會失去公司重要的資料,生產線也可能因受攻擊的問題未解決而停擺。本公司透過每年檢視和評估其網路安全規章及程序,以確保其適當性和有效性,但不能保證公司在瞬息萬變的網路安全威脅中不受推陳出新的風險和攻擊所影響。網路攻擊也可能企圖竊取公司的營業祕密、其他智慧財產及機密資訊,例如客戶或其他利害關係人的專有資訊以及員工的個資。惡意的駭客亦能試圖將電腦病毒、破壞性 軟體或勒索軟體導入公司網路系統,干擾公司的營運、以重新取得電腦系統控制權對公司進行勒索,或窺探機密資訊。這些攻擊可能導致公司因延誤或中斷訂單而需賠償客戶的損失;或需擔負龐大的費用實施補救和改進措施,以加強公司的網路安全系統,也可能使公司因涉入對其有保密義務之客戶或第三方資訊外洩而導致的相關法律案件或監管調查,而承擔重大法律責任。
投入資通安全管理之資源
1、專責人力
本公司設置之跨部門「資訊安全管理小組」由資訊安全主管(由資訊部副總經理擔任)帶領,負責制定資訊安全政策,規劃、協調、執行、審查與改進資訊安全管理系統;另,小組其他成員共4人,負責規劃與實施各項資安控制措施,以保護資訊資產的安全,並維護及持續強化資訊安全。
2、資安會議
本公司「資訊安全管理小組」均定期召開「資安會議」,針對資訊安全管理系統運作之有效性進行檢討及持續改善, 114年度共召開二次會議。
3、教育訓練
為建立及提升本公司員工之資通安全風險意識,以落實所有同仁確實遵循資通安全相關規範,並預防可能之資通安全風險,本公司依據公司營運政策及需求,實施內部訓練及外部訓練,訓練內容包含資通安全政策與資通安全通識課程訓練(資通安全政策、資通安全法令規定、資通安全作業程序、存取控制規範、網路安全使用、資安事件宣導及資安相關法規宣導等),以內、外部資安案例,分享相關資訊讓員工增進資安意識、提昇員工資安認知,每年提出訓練需求及計畫,並依年度教育訓練計劃表實施。114年度已針對全體員工辦理了「資安趨勢及個資案例宣導」,並獲得同仁的熱烈迴響與討論。
4、ISO 27001 資訊安全認證
商丞科技身為第一線為客戶提供整合方案及技術支援的專業廠商,深知資通系統安全對於企業營運的重要性及影響性,商丞科技系統化的建置資通安全防護機制,通過 ISO / IEC 27001 資訊安全認證,提供企業及客戶更安全、可信賴的資訊服務,每年接受外部公正第三單位稽查,確保公司落實 ISO 27001 管理機制,目前認證證書之有效期為2022年6月2日至2028年6月1日。
5、發生資通安全事件之因應措施
為確保於資通安全事件發生時,能迅速依程序進行通報,並採取必要之應變措施與建立事件學習機制,以降低事件所造成之損害,本公司要求所有人員發現疑似資通安全事件時,皆負有即時通報之責任。並根據異常事件影響程度不同分級與通報;資訊安全管理人員並針對事件緊急應變作業、事件排除作業、系統復原作業執行演練,進而提出矯正措施以及進行事件檢討與學習,並做為內部資安宣導及事件預防之參考資訊。
6、客戶信任與滿意
本公司114年未發生重大之資安事件,也未有接獲侵犯客戶隱私或遺失客戶資料的投訴。
