台耀 2023 年重大主題「資訊安全」之管理情形
本公司為提升資訊安全管理,由資訊部門負責審視各單位之資訊安全治理政策、監督資安管理運作情形,期望透過專業資安單位的管理、規劃、督導及推動執行,建構出全方位的資安防護機制並提升同仁良好的資安意識。
資訊部負責統籌、管理和督導資安業務,主要範圍涵蓋了資訊部門提供的相關資訊服務以及公司其他部門的需求。我們定期進行弱點掃描、防護系統有效性查核等相關資安檢測工作,定期評估資訊安全風險並向資訊主管報告,並提供相關資安宣導和教育訓練課程。透過資訊部門的運作和資安政策的執行,我們提供一個安全無虞的資安環境,確保公司各項服務的資訊安全。
台耀化學資訊安全之軟硬體設備保護及資料措施:
- 主機房:本公司架構資訊系統平台所用實體伺服器等相關設備,均安置於有門禁管控的電腦主機房內,只有管理者與被授權的人員允許進入。
- 硬體設備:本公司伺服器、網路設等硬體,架構上係採用備援容錯、叢集等設計,以確保系統與硬體設備的高可用性。
- 儲存設備:本公司用以儲存資料與備份的實體設備,配合磁碟陣列、備援等設計,藉以提升資料的保護與可用度。
- 防火牆:本公司已設置阻隔不同網路的網路安全設備,防止外部非法使用者的蓄意破壞、攻擊或篡改,以確保系統與資料的完整性。
- 入侵偵測防禦系統:本公司根據內建特徵庫,辨識攻擊行為、系統弱點,提供管理者預警、蒐證與紀錄,並提早應變。
- 公司電腦均需安裝防毒軟體。
- 電腦系統需有帳號和密碼管控且密碼必需定期更新。
- IT 系統有接 UPS 不斷電系統,避免停電造成的損害。
- 公司員工遠端工作,需透過 VPN 連回公司。
- 每天執行系統備份和異地備份。
- 定期進行災難還原演練。
- 營幕保護程式:本公司設定在使用者離開座位或電腦不運作一段時間後,系統將會自動鎖住工作站,必須藉由輸入帳號和密碼來解除電腦的鎖定,強迫使用者建立一個新的控制系統存取期間。
- 建議所有個人電腦應於下班時關閉,可節能減碳及降低存取威脅機會。
為強化資安管理,2023 年成立資安課並增設資安主管,基於《資訊安全政策》,由資訊部負責統籌及管理資安業務,並定期進行弱點掃描、防護系統有效性查核等相關檢測工作、評估資安風險並向資訊主管報告,亦每年對員工進行資安內訓,且針對特定職務部門進行資安演練,包含郵件社交工程演練、異地還原演練等。
此外,因台耀為 GMP 認證廠,故我們以嚴謹的 cGMP 體系進行資訊安全查核,如針對:生產自動控制、辦公自動化、部分自 動控制、品質管理、研發、針劑等,皆已建立完善的訓練機制,並配合 US FDA 每三年、TFDA 每年的查廠,及資誠聯合會計 師事務所每年、客戶每年約 30~40 餘次不定期對資安系統進行查核。
台耀化學資訊安全管理措施
| 資安管理措施 |
|
|---|---|
| 數位技術導入 |
|
| 外部威脅防禦 |
|
| 內部管理 |
|
| 2024 年重點計畫 |
|
我們以嚴謹的 cGMP 體系進行資訊安全查核,公司為 GMP認證廠,故 US FDA 每三年查廠 、TFDA每年、客戶一年約 40 次左右的數量不定期對資訊系統安全進行查核。公司重要資訊系統都有遵循 GAMP5 進行電腦確效,符合 US FDA 21 Part11 規範要求,並由資誠聯合會計師事務所對公司資訊系統進行每年查核。
台耀化學持續對資訊安全進行管理,其中包含訓練宣傳、演練、控管並審視,並對 2023 年做出預期管理方式,提升資安系統與防範面向,汰換舊有的系統,並增加教育訓練與實質演練的頻率與強度。
台耀化學資訊安全管理措施
