台耀化學 2022 年重大主題「資訊安全」之管理情形
本公司為提升資訊安全管理,由資訊部門負責審視各單位之資訊安全治理政策、監督資安管理運作情形,期望透過專業資安單位的管理、規劃、督導及推動執行,建構出全方位的資安防護機制並提升同仁良好的資安意識。
資訊部負責統籌、管理和督導資安業務,主要範圍涵蓋了資訊部門提供的相關資訊服務以及公司其他部門的需求。我們定期進行弱點掃描、防護系統有效性查核等相關資安檢測工作,定期評估資訊安全風險並向資訊主管報告,並提供相關資安宣導和教育訓練課程。透過資訊部門的運作和資安政策的執行,我們提供一個安全無虞的資安環境,確保公司各項服務的資訊安全。
台耀化學資訊安全之軟硬體設備保護及資料措施:
- 主機房:本公司架構資訊系統平台所用實體伺服器等相關設備,均安置於有門禁管控的電腦主機房內,只有管理者與被授權的人員允許進入。
- 硬體設備:本公司伺服器、網路設等硬體,架構上係採用備援容錯、叢集等設計,以確保系統與硬體設備的高可用性。
- 儲存設備:本公司用以儲存資料與備份的實體設備,配合磁碟陣列、備援等設計,藉以提升資料的保護與可用度。
- 防火牆:本公司已設置阻隔不同網路的網路安全設備,防止外部非法使用者的蓄意破壞、攻擊或篡改,以確保系統與資料的完整性。
- 入侵偵測防禦系統:本公司根據內建特徵庫,辨識攻擊行為、系統弱點,提供管理者預警、蒐證與紀錄,並提早應變。
- 公司電腦均需安裝防毒軟體。
- 電腦系統需有帳號和密碼管控且密碼必需定期更新。
- IT 系統有接 UPS 不斷電系統,避免停電造成的損害。
- 公司員工遠端工作,需透過 VPN 連回公司。
- 每天執行系統備份和異地備份。
- 定期進行災難還原演練。
- 營幕保護程式:本公司設定在使用者離開座位或電腦不運作一段時間後,系統將會自動鎖住工作站,必須藉由輸入帳號和密碼來解除電腦的鎖定,強迫使用者建立一個新的控制系統存取期間。
- 建議所有個人電腦應於下班時關閉,可節能減碳及降低存取威脅機會。
此外,本公司定期檢視資訊安全政策,確保資訊安全實務作業的有效性,跟隨最新的政府法令、技術和業務發展。並持續關注資訊安全領域的趨勢,不斷改進資安措施,確保公司資訊的安全性。 本公司除了每年對員工進行資訊安全的內部訓練,也定期針對特定職務部門進行資訊安全演練,包含郵件社交工程演練及異地還原演練,加強員工的資安風險意識與保障資料的完整與安全性。此外,每年有 GMP 的定期訓練,因 GMP 之規範部分與資訊相關,例如:生產自動控制、辦公自動化、部分自動控制、品質管理、研發(關鍵文件資料有中控系統)、針劑...等等,建立資訊安全完善的訓練機制。
台耀化學資訊安全管理措施
| 外部威脅防禦 |
|
|---|---|
| 內部管理 |
|
我們以嚴謹的 cGMP 體系進行資訊安全查核,公司為 GMP認證廠,故 US FDA 每三年查廠 、TFDA每年、客戶一年約 40 次左右的數量不定期對資訊系統安全進行查核。公司重要資訊系統都有遵循 GAMP5 進行電腦確效,符合 US FDA 21 Part11 規範要求,並由資誠聯合會計師事務所對公司資訊系統進行每年查核。
台耀化學持續對資訊安全進行管理,其中包含訓練宣傳、演練、控管並審視,並對 2023 年做出預期管理方式,提升資安系統與防範面向,汰換舊有的系統,並增加教育訓練與實質演練的頻率與強度。
台耀化學資訊安全管理措施
