資訊安全強化 | ACER ESG

資訊安全強化

資訊安全強化

企業資訊安全管理策略與架構

企業資訊安全組織為有效落實資安管理,每 2 週開 ISMS(Information Security Management System,ISMS) 例行會議,依據規畫、執行、查核與行動(Plan-Do-Check-Act,PDCA)的管理循環機制,檢視資訊安全政策適用性與保護措施,並每年透過內部與外部稽核,確保執行狀況符合規範,維護重要資產的機密性、完整性及可用性。ISMS 著重資安風險管理,並建立基礎架構與核心系統持續通過國際資安管理系統認證 ISO/IEC 27001,從系統面、技術面、程序面降低企業資安威脅,建立符合客戶需求的機密資訊保護服務。

除 ISMS 制度外,於 2021 年起參考 NIST Cybersecurity Framework(CSF)資安框架,加強多層資安防護,涵蓋資安的五大面向,包括識別(建立組織規則以管理系統、人員、資產、資料和功能的網路安全風險)、保護(建立和實施適當的安全措施以確保重要服務的運行)、偵測(制定並實施適當的作為以識別網路安全事件的發生)、回應(對偵測到的網路安全事件,規劃並實施適當的行動)與復原(制定並實施適當的措施以修復因網路安全事件受損的功能和服務),落實網路安全生命週期的風險管理,逐步導入資安防禦創新技術,將資安控管機制整合入軟硬體維運、及平日作業流程,系統化監控資訊安全,利用 NIST CSF 框架來持續評估公司資安成熟度,做為未來強化的方向依據。

資安成效管控

公司持續透過第三方評核,回應資安風險,並予以矯正,同時委託外部專家執行公司網路與資訊安全成熟度評鑑,確保資安防護機制符合產業標準。

  • 產業標準為藍色曲線,分數約為 83,成熟度為 B。
  • Acer 為黑色曲線,自 2022 年五月後穩定維持於產業平均表現之上,分數為 88,高於市場平均值 83 分。

     

投入資通安全管理之資源

2022 年企業資訊安全措施推動執行成果:

01 | 政策

總部新增/修訂 51 個 ISMS 資安管理要點、程序書、表單

02 | 認證

  • 總部於 2019 年通過 ISO/IEC 27001:2013 初次認證
  • 總部於 2022 年通過 ISO/IEC 27001:2013 重新驗證

03 | 宣導

6 支宣導短片

製作 6 支宣導影片,並舉行 9 場宣導說明會傳達資訊安全重要規定與重點工作執行注意須知

532 名完成資訊安全說明課程

新進人員共計 532 名於新人訓期間完成資訊安全說明課程

17 次資安公告

共計 17 次資安公告,傳達資訊安全重要規定與注意事項

04 | 風險控制

6711 名完成課程

6711 名員工完成年度資訊安全線上教育訓練課程

2 次社交工程演練

執行 2 次電子郵件社交工程演練,人數超過 7 千人

0 次 DDos 壓力測試

執行 0 次 DDos 壓力測試

 
9 次滲透測試

執行 9 次滲透測試,全球檢查標的超過 96

1 次 Web 弱點掃描

執行 1 次 Web 弱點掃描,檢查 120 個網站 URL

2 次 OS 弱點掃描

執行 2 次 OS 弱點掃描,檢查超過 7198 個弱點

資通安全風險與因應措施

公司已建立全面的網路與電腦相關資安防護措施,但無法保證其控管或維持公司營運等重要企業功能之電腦系統能完全避免來自任何第三方癱瘓系統的網路攻擊。在遭受嚴重網路攻擊的情況下,系統可能會失去公司重要的資料。惡意的駭客或地緣政治引起的網路攻擊,亦能試圖將電腦病毒、破壞性軟體或勒索軟體導入公司的網路系統,以干擾公司的營運。

公司過去曾經因 WFH 同仁誤點釣魚郵件而遭受勒索軟體攻擊,未來也可能面臨類似的攻擊。為了預防及降低此類攻擊所造成的傷害,公司落實相關改進措施並持續優化,例如: 惡意郵件過濾機制,以減少釣魚郵件進入同仁郵箱;強化網路防火牆與網路控管,以防止惡意軟體橫向跨區擴散;特權帳號多層次管控,以防止盜用;導入先進解決方案,進行合規機器的查核;導入新技術以偵測與處理惡意軟體;定期執行系統弱點掃描與修復和員工警覺性測試。

公司未來的資安防禦重點

客戶資料不外洩

透過多層防護,即便遭受勒索軟體攻擊,駭客也無法取得客戶資料。

加強防禦與監控

加強整體資安防禦與監控機制,增加駭客攻擊難度進而降低對公司的攻擊企圖,並全面部署端點偵測及回應軟體,確保異常行為的可視性。

內部系統區隔化

各地區系統與總部資料中心採網路零信任架構,及強化資訊系統營運持續演練,使得公司即使在駭客惡意攻擊下,也可降低影響範圍,並在可接受的預期時間內回復系統運作。