有效的資訊安全措施能夠保護企業的敏感資料和機密訊息,防止資料外洩、網絡攻擊和內部威脅,從而保障穩健經營和信譽。
重大主題 | 資安管理 |
---|---|
管理政策 | 於公司內部制定各項管理辦法,包括但不限於:《資訊安全管理標準》、《資訊安全事故管理標準》、《網際網路及電子郵件使用管理標準》、《資訊設備軟硬體使用管理標準》、《伺服器與公用檔案暨機房管理標準》、《資訊安全方針》、《資訊處理作業標準》、《網路使用管理標準》、《資訊系統故障管理標準》、《資訊系統存取控制標準》、《個人資料保護管理標準》等,以確保資訊安全相關風險得到有效管理。
|
管理承諾 | 依據《愛普生集團資訊安全基本方針》,公司的每位成員都必須體認到資訊安全的重要性,實施有效的資訊安全治理,並將資訊安全融入企業文化,使Epson繼續成為利害關係人信任的品牌。 |
權責單位 | IT管理部、永續發展委員會-公司治理組 |
投入資源 | 成立資訊安全組織:根據愛普生集團範圍內的規則,建構和維護自己的資訊安全系統。由公司高階主管擔任最高資訊安全總括負責人(CISO),負責資訊安全的治理。設置資訊安全推進負責人一名,制定推進計劃與活動實施內容。由各部門主管擔任資訊安全管理人,並指派各部門之資訊安全代表,以落實資訊安全活動的實施。 |
管理方針與評量 | 管理及評量面向如下:
|
目標 |
|
2023年度達成情形 |
|
台灣愛普生的資訊安全治理制度透過資訊安全組織框架來運作,主要包括管理決策、監督檢查、貫徹執行三方面的職能,每半年定期召開資訊安全會議,並依決議事項執行各項資訊安全活動,以共同達成資訊安全之管理目標。
- 管理決策部分:主要由董事總經理、經營管理委員會、最高資訊安全總括負責人承擔決策職能。最高資訊安全總括負責人由董事總經理任命之。
- 監督檢查部分:由最高資訊安全總括負責人、資訊安全推進負責人、資訊安全執行經理、資訊系統安全經理等,依據資訊管理決策進行規劃、運作與管理。各部門主管擔任資訊安全管理人,並由各部門資訊安全管理人指派一名資深且具備領導與協調能力的員工擔任該部門資訊安全代表,負責該單位日常資訊安全工作的具體協調和落實、監督檢查與改善。
- 貫徹執行部分:由各單位及全體員工承擔,遵循資訊安全管理要求,落實各項資訊安全工作,配合監督和檢查。
台灣愛普生資訊安全組織
資訊安全管理機制
愛普生集團深知顧客是我們成功的基石。秉持「顧客至上」的理念,我們致力於通過卓越的產品質量、快速的服務響應和持續的 創新,來滿足並超越顧客的期望。我們承諾將不斷改進和優化我們的服務,以建立長期、穩固的顧客關係,並共同邁向更光明的未來。
資訊安全管理目標 | ||||
---|---|---|---|---|
確保公司於企業活動中使用的所有資訊及資訊資產,能夠獲得妥善的保護,並確保其機密性、完整性 與可用性 | 確保公司於活動中相關的資訊安全風 險,能夠進行適當的評估並管理,並 確保業務持續運作,從而贏得客戶和其他利益相關者的信賴 | 確保公司能夠持續對從上到下的全體員工進行訓練與教育,以將資訊安全意識深植於企業文化之中 | 確保公司能夠建立並推行遵法活動,以遵守資訊安全相關法律,合約及其他相關規則 | 持續審視、維護並改善資訊安全管理系統 |
面對日益複雜的網路安全威脅和攻擊,精工愛普生制定了中期計劃,明定網路安全措施政策,並加強應對措施。台灣愛普生依據精工愛普生之規劃進行應對措施的強化。其中包括:
- 監控網路攻擊,並迅速回應有關惡意軟體(包括勒索軟體)的警報。
- 在個人電腦上安裝新型反惡意軟體,以偵測惡意行為並在個人電腦面臨危險之前阻止所有類型的攻擊,並將繼續改進和加強各部門對不斷變化的威脅的準備。
個人資料保護相關體制,由最高資訊安全總括負責人擔任最高個人資訊保護統括負責人,資訊安全推進負責人擔任個人資訊保護推進負責人;有關資訊安全所規定的體制、責任及許可權,將「資訊安全」置換成「個人資訊保護」後適用。
項目 | 說明 |
---|---|
持續營運管理 |
|
內部控管 |
|
資訊安全防護與檢測分析 |
|
資訊安全教育訓練
為強化全體同仁的資訊安全意識,本公司於新進同仁報到時,即提供資訊安全相關之新人訓練並提供測驗,測驗須達100分以上始合格,不合格者將於到職後進行補訓,2023年度已完成100%新人資訊安全教育訓練。針對一般員工,則於每年度舉辦一次全員資訊安全教育訓練(含個資保護管理)並提供測驗,測驗須達100分以上合格,不合格者將另行補訓,2023年度全體員工已100%完成資訊安全教育訓練。
而為提高同仁對釣魚郵件和其他針對性資安攻擊的識別能力和應對能力,本公司每年度舉辦兩次目標型攻擊郵件演練,協助員工識別並避免遭受釣魚郵件的攻擊,從而保護組織的資訊安全和敏感資料。2023年度演練結果,不合格率為13%,較前一年下降。
除正式教育訓練外,本公司亦透過多元管道積極落實資訊安全教育宣導,包括不定期透過部門月會加強宣導資安重要議題、不定期發布母公司精工愛普生相關資訊安全訊息;每年對員工實施資訊安全講習等,加強資訊安全教育與宣導。
個資保護管理
企業個資保護管理不僅是法規的要求,更是維護企業信任感和聲譽、降低風險、提高競爭力的重要途徑。本公司持續落實個人資訊保護相關標準的制定與審查,以強化相關規範;全公司實施個人資訊保護措施;全員對個人資訊保護意識的提升;持續對個人資訊進行診斷與風險評估;個資須依規定妥善管理,有關蒐集、使用、銷毀等程序需得到核可與適當授權後,方可進行使用或操作;規範有關涉及個人資訊蒐集的相關網站,除了必須有個資相關聲明,亦必須提供使用者聯絡窗口、聯絡表單或是電子郵件信箱等,以利使用者聯絡公司等。
基於上述管理目標,本公司於個資保護管理採取以下策略:
- 處理個人資訊時,明確依個人資訊保護相關的法律法規,建立識別與個人資訊處理相關的法律法規的程序,並根據需要相應地修訂法規和標準。
- 個人資訊保護管理者應對業務過程中處理的所有個人資訊進行識別、分類和管理。
- 個人資訊保護管理者應進行風險識別、分析與因應措施,以確保個人資訊適當使用。2023年度已針對存放個資之檔案伺服器進行個資檔案的盤點與風險識別,有0.3%之個資檔案已刪除,0.1%的檔案已移除個資部分,其餘99.6%的個資檔案已加上密碼保護措施。
- 個人資訊保護管理者應對個人資訊處理人員進行教育訓練。
- 個人資訊保護管理者應對發生個人資訊相關事件(個人資訊外洩、遺失、毀損,或違反各國家有關個人資訊保護的法律法規的行為)時可能產生的損失負責,並遵守「資訊安全事故管理標準」。