資訊安全 | ACER ESG

資訊安全

資訊安全政策

為追求企業永續經營,以守護顧客信任,宏碁公司於 2019 年開始推動全公司資訊安全管理制度,建立資訊安全政策,作為資訊安全管理依據,以確保宏碁公司的資訊資產安全、資訊服務的連續性,降低資訊安全事件帶來之威脅與衝擊。

此政策範圍包括宏碁公司之資訊資產、資訊系統及基礎建設,並適用於宏碁公司的所有主管及員工,包括承包商、顧問、臨時員工、實習生及任何其他為宏碁公司工作的第三方,簡稱員工。

  • 確保宏碁公司的資訊資產不受任何外部干擾、破壞、攻擊或任何其他破壞性或負面的行為意圖的影響。
  • 確保宏碁公司遵守相關法律義務。
  • 確保宏碁公司 IT 服務的連續性。

此政策規範框架符合「歐盟通用數據保護條例(General Data Protection Regulation, GDPR) 」法規及「台灣個人資料保護法」等相關法規及主管機關之要求,確保個人資料之蒐集、處理或利用。並遵循「美國保護營業秘密法(DTSA)」及「台灣營業秘密法」等著作權、商標、專利保護相關法規。政策每年至少重新審查一次,以檢查是否符合最新技術和業務發展的法律規定,以確保資訊安全維運之可行性和有效性。

資訊安全管理重點與執行成果

  • 宏碁全球資訊技術總部擬定《雲端作業管理規範》,確保 Acer IT 人員使用雲端服務時,能守護系統之安全作業。
  • 電子商務系統通過 ISO27001 驗證。
  • 泛歐 IT 推動重要核心系統,導入 ISO27001。
  • 全球導入 MDR 威脅偵測應變與合規偵測防禦機制,大幅強化全球資安防禦能力。
  • 建立全球弱點管理儀表板即時監控,快速概觀風險控制所需資訊,並進一步制定修復標準,降低風險。
  • 建立全球防禦與偵測資訊儀表板,即時綜覽資安風險。

落實資安管理,深耕資安文化

宏碁為提升資訊人員之資安意識及深刻了解資安活動執行之目的,舉辦年度 ISMS Workshop 與資安活動執行說明會,確保第一線執行資安活動的同仁能知而後行,並持續給予管理單位建議以不斷優化未來的資安執行方案,產生資安之正向循環,並以此培養組織內部之資安文化。

資訊安全管理組織

宏碁公司透過「企業資訊安全管理組織」推展各類資訊安全活動,並定期召開管理審查會議,檢視及決議資訊安全與資訊保護方針及政策,彙報資安管理成效、資安相關議題及方向,以落實資訊安全管理措施的有效性和確保公司智慧財產、客戶資料的保護及提升員工資安意識。 

「企業資訊安全管理組織」,透過固定舉辦例會進行內部團隊持續分享,並透過風險管理委員會,受董事長暨執行長(CEO)與董事會進行資訊安全策略的監督,加速新政策佈達與各單位意見溝通的機制建立。 

「企業資訊安全管理組織」由全球資訊技術總部主管(Head of Global IT)擔任主負責人,並指派資訊安全管理室負責制度管理推動與落實、企業資訊安全室負責資通安全防護與強化作業 ; 並由各處總處長(或處長)擔任資訊安全管理組織委員(Committee),指派代表成立全球資訊安全應變小組、ISO資訊安全推動與執行小組、資訊安全稽核小組及資通安全強化小組,持續精進內部資訊安全管理。

資訊安全訓練

宏碁公司為促使所有人員瞭解資訊安全之重要性及各種可能的安全風險,於資訊安全管理文件訂立「人員安全與教育訓練管理要點」,以作為管理依據。該管理文件規範人員資訊安全管理與資訊安全教育訓練及宣導作業,並於訓練完成後施行測驗,以確認教育訓練之有效性、進而確認人員對資訊安全認知提升與遵守,以減少因人員惡意、疏忽或對資訊安全認知不足所引發之資訊安全事件,並說明違反資訊安全規定時可能招致處罰及法律責任,以提高本公司人員資訊安全意識,促其遵守資訊安全規定。

ISMS Workshop

除既有之資安訓練,為落實組織資訊人員之重點資安工作執行,由宏碁全球資訊總部資訊安全管理室定期舉辦資訊帳號盤點、營運衝擊分析、目標有效性量測、風險評鑑等重點工作項目之說明會,並搭配與時俱進之ISMS Workshop簡報、FAQ、說明影片之教材確保資安工作之活化與傳承。

全球員工

電子學習

結果與統計分析

反饋及行動計畫

資訊安全演練

宏碁為建立有效的主動式防駭安全機制,並確保當公司資訊系統遭受天災、人為因素或惡意攻擊時,員工能即時進行通報及處理,將災害衝擊降至最低,故每年舉行「弱點掃描檢測」、「滲透測試」及「營運持續演練」等之資安情境演練,透過多場演練逐一檢視流程、評估各階段風險係數,建制應變暨復原計畫,強化企業對網路攻擊的風險承載度,提升緊急應變能力。 

Acer 定期每年除了執行火災消防、電力中斷、地震逃生等災害應變演練外,並於每季度針對核心系統(包含企業資源規劃系統,訂單管理系統及財會系統)及超過 100 多項子系統依規劃執行不同程度的復原控制措施的演練,將災害之衝擊最小化。

弱點掃描檢測

針對主機作業系統及網路設備等安全性問題每年定期進行弱點掃描檢測,並藉由弱點掃描與結果評估報告提早發現系統維運之安全弱點,及時完成弱點修補作業,避免弱點遭受入侵攻擊。

滲透測試

透過第三方專業資安機構每年辦理以駭客思維與手法的入侵攻擊演練,嘗試突破網路或系統的防禦,應用軟體、網路服務等系統設備之安全弱點與漏洞,設法取得控制權限或未授權之機敏資訊,使資訊人員熟練個人電腦或伺服器遭受惡意攻擊時之判斷、通知、隔離、處理及復原等程序,藉以提升企業網路及資訊系統的安全強度,降低資訊安全風險。

營運持續演練

為了當重大災難發生時,宏碁公司能夠及時採取相對應的持續營運策略,使能持續支援公司產品及主要服務的提供,於資訊安全管理文件訂立「營運持續管理要點」,以作為管理依據,並遵循ISO 27001管理系統標準定期執行演練,以檢視營運持續計畫有效性並持續改善精進。同時針對資訊系統進行復原時間目標(RTO),復原點目標(RPO)及應用服務等級評估,衡量機密性、完整性、可用性及適法性等面向後,進行整體衝擊等級評估,藉以落實營運持續管理系統運作及資源整合,確保系統持續有效及客戶與利害關係人之最大權益。

2023 年資安管理強化重點

  • 協助 Acer EMEA IT 通過 ISO27001 認證。
  • 針對 ISO27001:2022 版本異動做組織內關鍵成員教育訓練,並修訂相關資安政策與指引以充分準備轉版作業,使 Acer 資安規範維持最佳做法。
  • 為提高稽核員對於受稽核系統之掌握度,規劃製作 ISMS 系統簡介。
  • 推行資訊帳號盤點、資產盤點等作業自動化。
  • 強化資安控制政策、流程與框架,並訂定標準來識別資安成熟度。
  • 強化網路防火牆與網路控管,透過網路架構微分割防止惡意軟體橫向跨區擴散。
  • 導入特權帳號多層次管控機制,防止特權外洩。
  • 導入端點管理機制,管理、保護與部署企業資源與應用程式。
  • 定期執行資安演練,持續優化機制。
  • 建立雲端資安自動化控管架構
  • 強化備份有效性,提供可迅速重新建置的復原解決方案。

2022 年資訊安全新聞

持續通過第三方驗證

  • 2021/11/24 通過第三方資訊安全驗證公司 BSI 後續拜訪驗證宏碁公司 ISO27001: 2013 持續有效
  • 2022/04/27 通過第三方資訊安全驗證公司 BSI 後續拜訪驗證宏碁公司 ISO27001: 2013 持續有效
  • 2022/09/13 通過第三方資訊安全驗證公司 BSI 重新驗證宏碁公司 ISO27001: 2013 持續有效

證書下載