資訊安全
資訊安全政策
明基材料建立安全及可信賴之電腦化作業環境,確保電腦資料、系統、設備、網路安全及維持營運正常(相關細節請參考資安政策)。根據資通安全管理法、個人資料保護法、著作權法、電子簽章法等法規及參考資安國際標準(ISO 27001)訂立「資訊安全政策程序」
-
資訊安全管理政策:
-
強化公司資訊安全管理,建立可信賴之各項資訊應用系統。
-
護電子資訊資產,避免與降低業務損害。
-
增進事業利益並確保事業永續經營。
-
-
資訊安全管理目標:
-
保護公司資訊業務服務之安全,確保資訊需經授權人員才可存取資訊,以確保其機密性。
-
保護公司資訊業務服務之安全,避免未經授權的修改,以確保其正確性與完整性。
-
建立公司資訊業務永續運作計畫,以確保資訊業務服務之持續運作。
-
確保公司各項資訊業務服務之執行須符合相關法令或法規之要求。
資訊安全管理組織
明基材料於2021年成立「資訊安全管理委員會」,指派資安長及資安代表(資安專責主管),以強化資訊安全管理機制。為因應資訊安全趨勢與金管會之政策要求,針對資訊安全管理每年至少召開一次審查會議,2023年設置「資安長」,並在2024年4月擴大資訊單位組織為「數位技術中心」轄下成立資安專責單位「資安課」,任有資安專責主管及專責人員共2名,並將資安組織範圍納入數位技術中心智慧應用部及先進設備開發處機器視覺部。
資訊安全管理系統
明基材料為妥善保護資訊資產,執行風險評鑑程序、訂定及落實相關規範,以確認資訊資產的風險等級,透過風險評鑑結果以及內部會議決定風險事項之處理措施,以有效降低風險、移轉、消除甚至接受該風險。明基材料已於2021年通過ISO 27001認證(2013版)。為使資訊安全管理更加全面,已在2024年導入新版本ISO27001(2022版)驗證並已在2025年通過認證。
ISO 27001驗證範疇已涵蓋台灣及中國大陸主要生產廠區,以及ERP、FEOL MES(Front End of Line Manufacturing Execution System)系統及FlowER(BPM)系統,除了前述機房與系統外,2024年將參考ISO 27001原則,再推進至智慧應用部及先端設備開發處機器視覺部。
資訊安全風險評估
明基材料依據資訊安全風險評鑑與管理程序,定義出2022年台灣及中國大陸風險值,且針對高風險項目安排改善計畫;2023年將針對台灣與中國大陸的資訊安全系統重新進行評估,於2023年第3季完成評估,鑑別出2項較高風險的議題並納入風險管理運作,2024年已啟動改善方案。
資訊安全管理措施
硬體防護
設備點檢:針對重要系統及設備與廠商簽訂維護合約,定期點檢設備狀況。
建立資料備份機制:已建置備份系統,針對伺服器及資料庫進行每日備份作業,另重要設備建置高可用性(HA)機制。
網路安全防護與監控
明基材料已制定「網站資訊安全管理檢查規範」,2021年起針對重要系統主機、網站進行弱點掃描及修補作業,2024年持續擴大掃描範圍,增加網路設備、系統主機掃描數量及掃描頻率,以強化整體系統安全強度。
-
安全防護:每季進行系統、網路設備進行弱點掃描及修補改善作業,要求系統上線前應先進行更新,避免定期掃描前系統更新版本較舊問題。
- 監控機制:2023年對設備、主機及網路進行資安健診作業,範圍涵蓋惡意程式掃描、事件分析及回應、防火牆政策檢視,針對各項建議提出改善計畫且進行追蹤。
- 事件監控及回應:2024年導入EDR端點及網路偵測及回應系統,即時的持續監控、重要伺服器資料蒐集,以及進階交叉關聯,來偵測並回應主機和端點連線的可疑活動。
資安應變計畫
每年定期進行災難演練:2024年進行出貨循環系統災難演練作業,強化災害應變能力,減少公司於事故發生時之損失。
資安教育訓練
外部教育訓練:為強化中高階主管資安風險意識,2024年透過外部資安顧問說明「資安事故案例分析與應變實務」主題,確保資訊安全觀念能融入日常營運作業中。資訊專責人員通過資安認證課程(IEC 62443-2-1、ISO 27017&27018、ISO 27001)。
社交工程演練
自2021年4月起,每月定期舉辦電子郵件社交工程演練,對員工進行電子郵件收發等相關資訊安全知識之教育訓練,以降低員工誤點擊惡意郵件之風險,強化郵件安全觀念。
2024年社交工程演練,強化信件真實度,除加入子公司進行演練外,亦調整信件仿真度,經由持續宣導及人員調訓,誤觸率於2024年Q1維持下降趨勢。
集團資安管理
加入集團母公司佳世達資安組織並依循相關資安要求規範,訂定資安評級制度,明基材料含相關子公司需滿足集團母公司要求資安評級,每年持續強化資安韌性。
供應商資安管理
2024年針對各產品事業前10大供應商,共計71家廠商進行資訊安全風險評鑑作業,為提供公司外部風險參考依據外,亦提供資訊安全指引給相關廠商,以提升整體資安成熟度,降低可能發生的對應風險。
供應商資安評鑑
各事業單位依採購金額大小進行排序,採前10家進行自評作業,總計應回收家數為71家,供應商資安自檢評估作業規範,根據各項目評分結果進行加權評分,對供應商資訊安全管理狀況進行分級如下:
• A+級(優良):供應商有完善且有效運行的資訊安全管理制度,加權得分 ≧ 90%。
• A級(良好):供應商有完善的資訊安全管理制度,加權得分 ≧ 80%。
• B級(一般):供應商初步建立資訊安全管理制度,加權得分 ≧ 60%。
• C級(待加強):供應商未實施任何資訊安全管理制度,加權得分<60%。
整體資安評等分數為75.6分,整體平均分數B級(一般)較去年進步,對於C級(待加強)提供資安指引強化供應商資安防護措施建議。
資安保險安排
明基材料自2020年12月開始投保企業資訊安全風險管理保險,以因應資安事件發生時的所產生相關費用(如營運中斷、事故應變、回復費用)的保險理賠,投保範圍包含持股過半的子公司,以降低事故發生時之損失。2024年持續投保資安保險。
資訊安全規劃
-
制度面:遵循ISO 27001資訊安全國際標準制訂企業資安政策,且於2022年4月通過並取得ISO 27001證書,2024年導入新版ISO 27001:2022版本,並於2025年通過新版ISO 27001(2022版本)。此外,建立各項資安量化指標,持續強化及改善資安管理機制,提升對資安事件的對策及緊急應變能力。
-
技術面:在2024年導入MFA(Multi-Factor Authentication)、EDR(Endpoint Detectionand Response)及MDR(Managed Detectionand Response),建立安全多因子身份驗證強化登入安全,並透過事件即時檢測及回應機制,強化資安事前及事中處理能力。預計2025年依循母公司資安評級要求導入資安即時監控系統SOC (Security Operation Center)、SIEM (Security Information and Event Management)、源碼掃描、特權帳號管理及機敏資料管控。
-
營運持續:營運持續管理BCM(Business Continuity Management)2025年執行計劃擴大至各事業單位資安演練,確認明基材料在遭逢天災或人禍等意外時,保護重要營運過程不受重大資訊系統失效或災害的影響,確保在任何情況下均能維持組織之最低營運持續水準、降低因遭受過大損害而無法存續之風險。
