資訊安全

有效的資訊安全措施能夠保護企業的敏感資料和機密訊息,防止資料外洩、網絡攻擊和內部威脅,從而保障穩健經營和信譽。 
 

重大主題資安管理
管理政策

於公司內部制定各項管理辦法,包括但不限於:《資訊安全管理標準》、《資訊安全事故管理標準》、《網際網路及電子郵件使用管理標準》、《資訊設備軟硬體使用管理標準》、《伺服器與公用檔案暨機房管理標準》、《資訊安全方針》、《資訊處理作業標準》、《網路使用管理標準》、《資訊系統故障管理標準》、《資訊系統存取控制標準》、《個人資料保護管理標準》等,以確保資訊安全相關風險得到有效管理。


外部依循:ISO 27001國際標準、臺灣個人資料保護與管理制度「Taiwan Personal Information Protection and Administration System (TPIPAS)等。

管理承諾依據《愛普生集團資訊安全基本方針》,公司的每位成員都必須體認到資訊安全的重要性,實施有效的資訊安全治理,並將資訊安全融入企業文化,使Epson繼續成為利害關係人信任的品牌。
權責單位IT管理部、永續發展委員會-公司治理組
投入資源成立資訊安全組織:根據愛普生集團範圍內的規則,建構和維護自己的資訊安全系統。由公司高階主管擔任最高資訊安全總括負責人(CISO),負責資訊安全的治理。設置資訊安全推進負責人一名,制定推進計劃與活動實施內容。由各部門主管擔任資訊安全管理人,並指派各部門之資訊安全代表,以落實資訊安全活動的實施。
管理方針與評量

管理及評量面向如下:

 

  • 持續營運:透過災害復原演練確保備援系統與資料的可用性與完整性
  • 宣導落實:透過定期實施之全員教育訓練與演練,提升全員資安意識
  • 診斷評估:透過資訊資產定期盤點、弱點掃描、風險評估、供應商資安評估與母公司精工愛普生年度自我評核等措施,強化資訊安全管理
  • 內部控管:以資訊科技強化資安,透過資訊系統的記錄、檢查與分析防範威脅
目標
  • 更新建置資訊安全管理系統
  • 持續進行資安釣魚測試與資安宣導
  • IT管理部依循母公司精工愛普生資安規範,定期進行異地備援及異地測試
  • 定期檢視使用的防火牆、入侵檢查系統,安全加密系統,以確保網路安全
  • 訂定客戶資料保密措施,並確保每個員工都了解和重視資訊安全
2023年度達成情形
  • 本年度全體員工已100%完成資訊安全教育訓練
  • 本年度未有經證實侵犯客戶隱私或遺失客戶資料的投訴、亦未有違反資訊安全與個資保護事件。
  • 舉辦兩次目標型攻擊郵件演練,演練結果之不合格率為13%,較前一年下降。
  • 針對存放個資之檔案伺服器進行個資檔案的盤點與風險識別,有0.3%之個資檔案已刪除,0.1%的檔案已移除個資,其餘99.6%的個資檔案已加上密碼保護措施

台灣愛普生的資訊安全治理制度透過資訊安全組織框架來運作,主要包括管理決策、監督檢查、貫徹執行三方面的職能,每半年定期召開資訊安全會議,並依決議事項執行各項資訊安全活動,以共同達成資訊安全之管理目標。

 

  • 管理決策部分:主要由董事總經理、經營管理委員會、最高資訊安全總括負責人承擔決策職能。最高資訊安全總括負責人由董事總經理任命之。
  • 監督檢查部分:由最高資訊安全總括負責人、資訊安全推進負責人、資訊安全執行經理、資訊系統安全經理等,依據資訊管理決策進行規劃、運作與管理。各部門主管擔任資訊安全管理人,並由各部門資訊安全管理人指派一名資深且具備領導與協調能力的員工擔任該部門資訊安全代表,負責該單位日常資訊安全工作的具體協調和落實、監督檢查與改善。
  • 貫徹執行部分:由各單位及全體員工承擔,遵循資訊安全管理要求,落實各項資訊安全工作,配合監督和檢查。

 

台灣愛普生資訊安全組織

Image

 

資訊安全管理機制

愛普生集團深知顧客是我們成功的基石。秉持「顧客至上」的理念,我們致力於通過卓越的產品質量、快速的服務響應和持續的 創新,來滿足並超越顧客的期望。我們承諾將不斷改進和優化我們的服務,以建立長期、穩固的顧客關係,並共同邁向更光明的未來。

 

資訊安全管理目標

確保公司於企業活動中使用的所有資訊及資訊資產,能夠獲得妥善的保護,並確保其機密性、完整性 與可用性確保公司於活動中相關的資訊安全風 險,能夠進行適當的評估並管理,並 確保業務持續運作,從而贏得客戶和其他利益相關者的信賴確保公司能夠持續對從上到下的全體員工進行訓練與教育,以將資訊安全意識深植於企業文化之中確保公司能夠建立並推行遵法活動,以遵守資訊安全相關法律,合約及其他相關規則持續審視、維護並改善資訊安全管理系統

面對日益複雜的網路安全威脅和攻擊,精工愛普生制定了中期計劃,明定網路安全措施政策,並加強應對措施。台灣愛普生依據精工愛普生之規劃進行應對措施的強化。其中包括:

 

  1. 監控網路攻擊,並迅速回應有關惡意軟體(包括勒索軟體)的警報。
  2. 在個人電腦上安裝新型反惡意軟體,以偵測惡意行為並在個人電腦面臨危險之前阻止所有類型的攻擊,並將繼續改進和加強各部門對不斷變化的威脅的準備。

個人資料保護相關體制,由最高資訊安全總括負責人擔任最高個人資訊保護統括負責人,資訊安全推進負責人擔任個人資訊保護推進負責人;有關資訊安全所規定的體制、責任及許可權,將「資訊安全」置換成「個人資訊保護」後適用。

 

項目說明
持續營運管理
  • 確保備援資料的可用性與完整性
  • 提升資料備援機制以降低風險
  • 強化資料備份紀錄檢核作業
  • 重要系統災害復原演練
內部控管
  • 加強持有資訊的分級、揭露與管理。將資訊分為極機密、機密、限內部使用、公開資訊等四級,於IT技術上對機密資訊透過DLP(Data Loss Prevention)進行管制
  • 持續資訊資產之風險評估與風險控管的實施
  • 強化資料存取與傳送的保護機制,如透過DLP技術防範資料不當外洩;透過資訊資產盤點,確保資料所在地點受適當存取權限保護等
  • 持續落實供應商資安評估。針對新資訊供應商會執行資安評估。2023年度新資訊供應商均通過資安評估。未來將落實年度續約資訊供應商的資安評估
  • 強化資訊系統的紀錄檢查與分析以防範威脅
  • 落實資安事故的防範與因應
資訊安全防護與檢測分析
  • 執行年度資訊資產清冊與個資盤點:確保資料是否獲得確實的防護
  • 執行年度資訊系統帳號與權限盤查:確保使用者權限是否適當授予
  • 採用DLP(Data Loss Prevention)、EPM (Endpoint Privilege Management)、 Zero Trust(零信任) 技術與架構:降低資料不當洩漏或系統不當存取的風險
  • 每半年進行一次資訊資產弱點掃描,及時補強漏洞強化防護
  • 系統安全性更新與防毒軟體更新:定時清查各系統的軟體更新狀況以確保系統資訊安全
  • 重要系統年度災害復原演練:確保資料備份品質及縮短復原時間。主要演練情境為重要系統備援至異地機房進行復原與啟動作業;2023年度已完成9個重要系統的演練。
  • Log定期檢視與分析:防範可能的弱點與威脅
  • 依據愛普生集團的資訊安全規範,對外服務的資訊系統須實施入侵偵測,落實密碼原則與存取控制,強化防火牆與網路管理,以及防毒軟體安裝、作業系統更新與安全性更新等管理

資訊安全教育訓練

為強化全體同仁的資訊安全意識,本公司於新進同仁報到時,即提供資訊安全相關之新人訓練並提供測驗,測驗須達100分以上始合格,不合格者將於到職後進行補訓,2023年度已完成100%新人資訊安全教育訓練。針對一般員工,則於每年度舉辦一次全員資訊安全教育訓練(含個資保護管理)並提供測驗,測驗須達100分以上合格,不合格者將另行補訓,2023年度全體員工已100%完成資訊安全教育訓練。


而為提高同仁對釣魚郵件和其他針對性資安攻擊的識別能力和應對能力,本公司每年度舉辦兩次目標型攻擊郵件演練,協助員工識別並避免遭受釣魚郵件的攻擊,從而保護組織的資訊安全和敏感資料。2023年度演練結果,不合格率為13%,較前一年下降。


除正式教育訓練外,本公司亦透過多元管道積極落實資訊安全教育宣導,包括不定期透過部門月會加強宣導資安重要議題、不定期發布母公司精工愛普生相關資訊安全訊息;每年對員工實施資訊安全講習等,加強資訊安全教育與宣導。

 

個資保護管理

企業個資保護管理不僅是法規的要求,更是維護企業信任感和聲譽、降低風險、提高競爭力的重要途徑。本公司持續落實個人資訊保護相關標準的制定與審查,以強化相關規範;全公司實施個人資訊保護措施;全員對個人資訊保護意識的提升;持續對個人資訊進行診斷與風險評估;個資須依規定妥善管理,有關蒐集、使用、銷毀等程序需得到核可與適當授權後,方可進行使用或操作;規範有關涉及個人資訊蒐集的相關網站,除了必須有個資相關聲明,亦必須提供使用者聯絡窗口、聯絡表單或是電子郵件信箱等,以利使用者聯絡公司等。


基於上述管理目標,本公司於個資保護管理採取以下策略:

 

  • 處理個人資訊時,明確依個人資訊保護相關的法律法規,建立識別與個人資訊處理相關的法律法規的程序,並根據需要相應地修訂法規和標準。
  • 個人資訊保護管理者應對業務過程中處理的所有個人資訊進行識別、分類和管理。
  • 個人資訊保護管理者應進行風險識別、分析與因應措施,以確保個人資訊適當使用。2023年度已針對存放個資之檔案伺服器進行個資檔案的盤點與風險識別,有0.3%之個資檔案已刪除,0.1%的檔案已移除個資部分,其餘99.6%的個資檔案已加上密碼保護措施。
  • 個人資訊保護管理者應對個人資訊處理人員進行教育訓練。
  • 個人資訊保護管理者應對發生個人資訊相關事件(個人資訊外洩、遺失、毀損,或違反各國家有關個人資訊保護的法律法規的行為)時可能產生的損失負責,並遵守「資訊安全事故管理標準」。