資訊安全風險管理政策
(一)資通安全風險管理架構:
本公司於2022 年底設立「企業資訊安全性群組織」,由CEO 統籌管理,下轄資訊安全小組,包含資訊安全長,資訊安全主管,資訊安全員,統籌資訊安全及保護相關政策制定、執行、風險管理與遵循內部合規,並按照上市上櫃公司之法律法規要求向董事會彙報資安管理成效、資安相關議題和規劃。
稽核單位依據企業相關運作制度和規範,監督資訊安全性群組織之運行和稽核,確保資訊安全性群組織有效運行和資訊安全之有效控制。為確保資安風險之有效控制和資安風險事件之有效處理,資安委員由企業各部門主管進行擔任。
每季度召開會議,檢視及決議資訊安全之方針及政策,資訊安全管理措施的有效性,資訊安全事件的處置、總結及預防。
(二)資通安全政策:
為維護矽力杰的機密性、完整性及可用性,本公司制定並實施公司員工應遵守的資訊安全管理政策。資訊安全部門為最高權責單位,負責資訊安全制度之規劃與實施,並確保資安時間處理的有效性。依照ISO27001 體系標準進行資訊安全之管理,依照PDCA(Plan-Do-Check-Action)管理迴圈機制,檢視資訊安全之政策、方針、目標及策略之有效性,並不斷完善相關具體措施。
l資訊安全管理方針:
l資訊安全管理目標:
l資訊安全性策略:
依照資通安全管理標準規範,建立25 項資訊安全管理策略。
(三)具體管理方案及投入資通安全管理之資源:
l建立資通事故應變計畫,對資通安全事件進行分級分類、通報和處置。
l建立資訊業務連續性計畫,對風險進行分析和分級,建立應對措施,降低整體風險。
l已完成ISO27001標準體系認證,依照體系要求進行資訊安全之建置、管理,證書有效期間為2023年04月18日至2025年10月31日。
l建立資通安全小組,設立資訊安全長1名,資訊安全主管1名,資訊安全員2名。
l相關具體管理措施:
l2023矽力杰進行全員資訊安全培訓,並落實資訊安全線上考試,參與率87.8%,合格率99.5%,滿分80分,平均分76.58。
l2023年入職新員工培訓,100%覆蓋。
l2023年進行三項演練測試:
ü資料備份之還原測試: 100%成功。
ü互聯網多鏈路切換演練: 通過。
ü資料中心機房停電演練: 通過。
l矽力杰為有效運用網路安全情資及強化資安防禦體系,於2021年申請並通過審核後加入「台灣CERT/CSIRT聯盟」。