资讯安全管理
|
资讯安全推动组织 |
神达设置资通安全推动组织,由总经理担任主席,数位发展中心副总经理担任副主席,资讯安全长 担任执行秘书。并设有专责资安单位,配置资安专责主管一名及资安专责人员数名,以负责推动、协调监督及审查资通安全管理事项。资通安全部门定期向管理阶层或董事会报告资通安全执行情形,以确保运作之适切性及有效性。
为持续强化资通安全防护及管理机制,神达于 2020 年取得国际资讯安全管理标准 ISO 27001:2013 认证并每年持续通过查核。2023 年持续通过第三方验证机构之查核,确认资安管理体系与证书之有效性。
|
资讯安全教育训练与倡导 |
神达持续向员工传达遵守公司资安政策之重要性与必要性,所有使用资讯系统之人员,每年接受资讯安全宣导课程。负责资讯安全之主管及人员,每年接受资讯安全专业课程训练。定期执行社交工程演练与检讨,持续提升员工资安意识。举办资安相关竞赛活动,以寓教于乐形式培养同仁资安素养。
 |
 |
|
资通安全防护与控制措施 |
透过外部企业资安风险评等服务,从外部持续收集多种网络安全风险分析指针,进而持续监控与改善资安风险。以资安防御矩阵 CDM (Cyber Defense Matrix) 分析与检讨资安防护需求,持续优化资通安全预算、管控流程与防护措施。
 |
订定资安事件应变处置及通报作业程序,包含判定事件影响及损害评估、内外部通报流程、通知其他受影响单位之方式、通报窗口及联系方式。
神达已加入台湾电脑网络危机处理暨协调中心 (TWCERT / CC) 会员,定期取得资安预警情资、资安威胁与弱点资讯,从而采取预防性措施,提升资安防护能量与降低骇侵风险 |
针对生产、研发、业务等与营运直接相关之关键应用系统,每年安排备份还原、备援切换、异地还原等演练作业,以保持应变能力与营运持续运作。 2023 年共进行 13 次灾难复原演练与检讨作业,演练范围包括重要关键应用系统、网络服务、电力与空调供应等,均满足所设定之复原时间目标 (RTO) 与复原点目标 (RPO) 。 |
|
|
勒索软体攻击演练 |
有鉴于国内外勒索软体攻击层出不穷,动辄严重影响营运与生产, 2023 年执行集团重要生产据点资讯部门间之因应勒索软体攻击之紧急应变联合演练,透过桌上型模拟演练 (Table-top Exercise) 以情境式沙盘推演,确保集团应变架构与能力于紧急状况下,能有效处理灾害以降低损失,透过演练强化人员的危机管理与应变能力。
2023 年未发生造成营运中断、资料损毁或资料外泄等重大资通安全事件。
|
 |