風險管理


華夏公司從日常營運中辨識可能影響企業永續發展的相關風險,擬訂相關管理策略與因應措施,以降低營運中 斷的可能風險。目前針對特定事項或重要風險由各執行及負責單位進行辨識、評估、篩選,並擬因應措施之相關 計劃,由稽核處進行監督追蹤,以達持續改善,落實PDCA管理循環加強風險管理作業。




資訊安全風險管理


  • 成立資訊安全推動小組,職掌如下:
    • 訂定資訊安全風險管理架構暨資訊安全政策
    • 進行資訊安全風險評估分析
    • 資訊安全維運與執行
    • 資安作業執行有效性確認
  • 制定管理方案:
    • 內部:由稽核部門定期稽查。
    • 外部:由第三方單位BSI連續五年通過ISO 27001認證審查。外部:由第三方單位BSI連續五年通過ISO 27001認證審查。
    • 教育訓練:每年進行資訊人員進修四小時的資訊安全教育訓練及委託外部專業資安顧問公司做資安查核。
    • 社交工程演練:提升員工資安意識,每年至少兩次委託外部專業資安顧問公司進行演練。
    • 針對伺服器主機等設備委託外部專業單位針對潛在風險進行系統修正或提出補償性措施。
    • 適當保護個人資料並符合歐盟一般資料保護規範之要求。
    • 建立安全交易平台,導入加密安全憑證。
  • 客戶機密資訊保護
    • 在客戶資料保護部分,集團資訊處訂定了『資訊安全管理政策總則』、『系統開發及維護管 理規範』、『應用系統程式上線作業管理要點』、『資料庫管理要點』等各項規範,保護及 控制各項資料,並透過加強防火牆管理、權限控管、伺服器作業系統弱點掃描、測試環境與 實際作業環境區隔、將含有個資的資料作去識別化處理等措施。根據這些管理制度,具體規 範員工在日常作業程序中需遵守的規則。另建立安全交易平台,如客戶訂單查詢網,導入加 密安全憑證,以避免郵件被攔截而發生交易文件遭竄改的變臉詐騙事件發生。對於客戶的資 料有嚴格權限管控策略與流程,可避免客戶的機密資訊洩漏的風險。
  • 風險類別與因應-風險與挑戰
    • 面對日益嚴峻的資安攻擊,如何加強資安防護又不致影響產線產能,是資訊管理人員極大的 挑戰。參照業界實務及資安顧問建議,使用防火牆設備將IT事務電腦與工控營運系統電腦加 以區隔,對於防止資安事件的損害,有立竿見影的效果。