資訊安全治理制度
為降低新興資訊科技應用及環境變遷所帶來的資安威脅風險,裕隆汽車持續完善資訊安全制度、提升防禦能力,並遵照「公開發行公司建立內部控制度處理準則」第九條「電腦化資訊系統處理」之規定制定相關内部作業規定,以確保各項資訊作業流程皆符合資安標準流程。自2017年起依循集團資訊安全發展藍圖,在處理緊急威脅的短期原則、優化資安環節的中期原則以及滾動式檢討因應的長期發展下,裕隆汽車建構出資安風險內控管理措施,接軌國際資安趨勢、強化保密性風險管控。因應近年資安威脅類型多變、產業界受攻擊事件層出不窮,2022年上半年已加入TWCERT/CSIRT並於2024年下半年與法務部調查局簽署MOU,共享防禦情資。
資安管理組織架構
裕隆汽車資訊安全權責單位為數位發展部,配置資訊主管2名與專業人員數名,負責訂定資安政策、規劃暨執行資訊安全作業與資安措施推動,並定期向裕隆汽車董事會及裕隆集團總管理處報告資安治理概況。此外,依主管機關對上市櫃一級公司指引設立資訊安全專案組織。資訊安全專案組織屬公司內部專案小組,目前依ISO 27001規範每年會召開全景分析會議1次、管理審查會議1次。
資訊安全專案組織
_%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8%E5%B0%88%E6%A1%88%E7%B5%84%E7%B9%94.png)
資安管理策略
裕隆汽車採PDCA循環進行資安管理,確保可靠度目標之達成且持續改善。 為掌握資訊安全風險管理,裕隆汽車自3面向來對應及預防風險事件發生:
-
1未發生前:定期自主盤點檢驗,從流程與技術多方面著手,主動預防資安事故
-
2事情發生時:損害控制緊急應變
-
3發生以後:追查並列入預防
資安事件發生後之應變處理流程圖
資安管理成果及未來規劃
為強化整體資訊安全,具體進行多項資訊安全強化專案,範圍包含【內外傳輸網路防駭】、【員工資安意識提升】、【防範惡意網站管控】、【遠距工作連線保護】、【系統弱點改善/滲透測試】、【資料外洩保護】、【跨公司異地機房/備援強化】、【增強IT管理框架(ISO/ISMS)】、【隨身儲存裝置管控】、【郵件系統優化】和【營業秘密文件管理】【特權帳號管理】【產線OT網路強化】,並已規劃2024年~2027年「資安風險內控管理措施」推動藍圖,穩健推展整體資安戰略布局、持續優化。
因應裕隆集團轉型,採「全面開放,爭取多元客戶,資源共享共用」的情境下,針對【保密性風險】資安強化為主軸,提升保護等級並與科技/國際業界接軌,增加客戶信任度、防止機敏資料外洩發生。有關資訊安全管理執行現況及未來規劃報告,每年定期由稽核單位報告董事會,落實資訊安全風險管理。
