公司治理
資訊安全
依據金管會要求設置1位資安主管與1位資安專員進行資訊安全制度之規劃、監控及執行資訊安全管理作業,確保資訊基礎建設、資訊應用系統及產品與客戶之資訊安全,督導各單位執行資訊安全預防及危機通報、緊急應變處理等相關工作。
具體作法:建立各項資安管制措施,諸如機房、端點電腦、網路管制、人員存取權限控管、系統資料備份、災害復原演練,包括:
- 導入 EDR (Endpoint Detection and Response, EDR 端點偵測與回應 )針對端點防止惡意程式、勒索病毒、駭客入侵系統竊取檔案、網路服務弱點掃描,防堵攻擊, 確保資訊安全。
- 社交工程演練,強化同仁的資安意識,杜絕資安風險。
- 不定期在內網進行資安宣導、社交演練,每年舉辦資安教育訓練。
外部威脅防範工作內容
| 項次 | 項目 | 2024執行內容 |
|---|---|---|
| 1 | 定期網路弱點掃描、修補網路破洞,降低駭客入侵 | 每年2次,上下半年各一次 |
| 2 | 使用防火牆過濾惡意軟體入侵攻擊 | 每日檢查防火牆是否有異常活動 |
| 3 | 使用郵件過濾軟體過濾郵件病毒及垃圾郵件 | 不定期檢查垃圾郵件過濾、每年2次社交工程演練測試提高員工資安意識 |
| 4 | 更新防毒軟體,防止感染各類病毒 | 每日檢查防毒平台是否有未更新之電腦清單,並強制更新 |
| 5 | 廠區之間採用混合雲連線作業/資料加密的方式,避免資料傳輸過程遭受非法擷取 | 每日執行 |
| 6 | 遠端登入公司內網存取系統資料,必須申請VPN帳號,透過IPSEC VPN的安全方式始能登入使用,且均留有使用紀錄可稽查。 | 每日執行 |
| 7 | 配置上網行為管理與過濾設備,控管網際網路的存取,可屏蔽訪問有害或政策不允許的網路位址與內容 | 每週稽核所有上網使用者瀏覽紀錄 |
內部管理工作內容
| 項次 | 項目 | 2024執行內容 |
|---|---|---|
| 1 | 加強資安宣導及教育訓練 | 每年2次在職員工教育訓練 新進員工固定10分鐘資安宣導 透過內部資訊網或是郵件不定期資安宣導 |
| 2 | 針對關鍵主機定期備份及簽訂備援服務,並且每年執行災害演練 | 每一季度系統災害復原測試 |
| 3 | 各應用系統使用需求均要透過權限申請並核准後,由資訊部建立系統帳號/功能授權才可存取 | |
| 4 | 帳號密碼設置定期更換 | 每年更換密碼 |
| 5 | 全廠禁用USB隨身碟 | 全廠電腦禁用USB隨身碟,若臨時使用需向資訊部申請並拿USB隨身碟來掃描確認無病毒才能開放該電腦使用USB |
大毅科技依照上市上櫃公司資通安全管控指引持續導入資安應用,除了EDR端點保護/汰換新防毒軟體、第三方資安單位進行弱點掃描,修正改善建議,同時系統導入雙因素認證,透過手持裝置確認身分後方能登入系統。
2024年全年並無資訊安全問題產生