資訊安全治理制度
為降低新興資訊科技應用及環境變遷所帶來的資安威脅風險,裕隆汽車持續完善資訊安全制度、提升防禦能力,並遵照「公開發行公司建立內部控制度處理準則」第九條「電腦化資訊系統處理」之規定制定相關內部作業規定,以確保各項資訊作業流程皆符合資安標準流程。自2017年起依循集團資訊安全發展藍圖,在處理緊急威脅的短期原則、優化資安環節的中期原則以及滾動式檢討因應的長期發展下,裕隆汽車建構出資安風險內控管理措施,接軌國際資安趨勢、強化保密性風險管控。因應近年資安威脅類型多變、產業界受攻擊事件層出不窮,除加入TWCERT/CSIRT聯防組織外共享防禦情資,2023年積極導入新興駭侵防禦架構,拓展多層次縱深偵測與回應能力。
資安管理組織架構
裕隆汽車資訊安全權責單位為製造服務部,配置資訊主管4名與專業人員數名,負責訂定資安政策、規劃暨執行資訊安全作業與資安措施推動,並定期向裕隆汽車董事會報告資安治理概況。2022年起依主管機關對上市櫃一級公司指引設立資安委員會。資安委員會屬公司內部專案小組,目前依ISO 27001規範每年會召開全景分析會議1次、管理審查會議1次。
資訊安全專案組織
_%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8%E5%B0%88%E6%A1%88%E7%B5%84%E7%B9%94_864x430.webp)
資安管理策略
裕隆汽車採PDCA循環進行資安管理,確保可靠度目標之達成且持續改善。 為掌握資訊安全風險管理,裕隆汽車自3面向來對應及預防風險事件發生:
-
1未發生前:定期自主盤點檢驗,從流程與技術多方面著手,主動預防資安事故
-
2事情發生時:損害控制緊急應變
-
3發生以後:追查並列入預防
資安事件發生後之應變處理流程圖
資安管理成果及未來規劃
為強化整體資訊安全,2019至2023年具體進行多項資訊安全強化專案,範圍包含「離線備份強化」、「內網駭侵偵防」、「7x24資安戰情中心」、「內外攻擊面縮減」、「內外傳輸網路防駭」、「員工資安意識提升」、「防範惡意網站管控」、「遠距工作連線保護」、「系統弱點改善/渗透測試」、「資料外洩保護」、「跨公司異地機房/備援強化」、「增強IT管理框架(ISO/ISMS)」、「隨身儲存裝置管控」、「郵件系統優化」和「營業秘密文件管理」。2023年並無侵犯客戶隱私或遺失客戶資料的投訴。
面對未來己開始著手規劃「資安風險內控管理措施」推動藍圖,穩健推展中長期整體資安戰略,包含基礎資訊建設、智慧製造防護、落實資安訓練。在現有資安内控架構下將以「深化資安韌性」為主軸,進行「有效篩檢止損、快速减災復原」能力強化,提升資安危機應變力與持續營運管理。
