资讯安全管理
|
资讯安全推动组织 |
神达设置资通安全推动组织,由总经理担任主席,数位发展中心副总经理担任副主席,资讯安全长 担任执行秘书。并设有专责资安单位,配置资安专责主管一名及资安专责人员数名,以负责推动、协调监督及审查资通安全管理事项。资通安全部门定期向管理阶层或董事会报告资通安全执行情形,以确保运作之适切性及有效性。
为持续强化资通安全防护及管理机制,本公司已于2019年导入国际资讯安全管理系统标准ISO27001,并于2019年底通过验证。每年持续通过第三方验证公司稽核,2024年底通过ISO27001:2022转版查核验证,确保资讯安全管理系统能有效因应目前的数位环境和新兴威胁的相关风险。最新版证书效期为2025/2/06~2026/01/14。
|
资讯安全教育训练与倡导 |
神达持续向员工传达遵守公司资安政策之重要性与必要性,所有使用资讯系统之人员,每年接受资讯安全宣导课程。负责资讯安全之主管及人员,每年接受资讯安全专业课程训练。定期执行社交工程演练与检讨,持续提升员工资安意识。举办资安相关竞赛活动,以寓教于乐形式培养同仁资安素养。
 |
 |
|
资通安全防护与控制措施 |
透过外部企业资安风险评等服务,从外部持续收集多种网络安全风险分析指针,进而持续监控与改善资安风险。以资安防御矩阵 CDM (Cyber Defense Matrix) 分析与检讨资安防护需求,持续优化资通安全预算、管控流程与防护措施。
 |
订定资安事件应变处置及通报作业程序,包含判定事件影响及损害评估、内外部通报流程、通知其他受影响单位之方式、通报窗口及联系方式。
神达已加入台湾电脑网络危机处理暨协调中心 (TWCERT / CC) 会员,定期取得资安预警情资、资安威胁与弱点资讯,从而采取预防性措施,提升资安防护能量与降低骇侵风险 |
针对生产、研发、业务等与营运直接相关之关键应用系统,每年安排备份还原、备援切换、异地还原等演练作业,以保持应变能力与营运持续运作。 2024 年共进行 15 次灾难复原演练与检讨作业,演练范围包括重要关键应用系统、网络服务、电力与空调供应等,均满足所设定之复原时间目标 (RTO) 与复原点目标 (RPO) 。 |
|
|
营运持续演练 |
2024年神达总部与重要生产据点之资讯部门持续协同执行联合紧急应变演练,以2024年7月间资安软件公司CrowdStrike因软件更新bug造成全球大规模Windows系统蓝色画面当机事件为例,进行桌上型模拟演练,以验证总/分公司资讯部门对于事件之复合式灾害发生时,相关营运持续管理与灾害复原计划及业务作业程序可操作性,并落实总/分公司资讯部门间相互支持与合作,强化危机管理与应变能力。
2024 年未发生造成营运中断、资料损毁或资料外泄等重大资通安全事件。
|
 |