資訊安全 | ACER ESG
資訊安全政策
為追求企業永續經營,以守護顧客信任,宏碁公司於 2019 年開始推動全公司資訊安全管理制度,建立資訊安全政策,作為資訊安全管理依據,以確保宏碁公司的資訊資產安全、資訊服務的連續性,降低資訊安全事件帶來之威脅與衝擊。
此政策範圍包括宏碁公司之資訊資產、資訊系統及基礎建設,並適用於宏碁公司的所有主管及員工,包括承包商、顧問、臨時員工、實習生及任何其他為宏碁公司工作的第三方,簡稱員工。
- 確保宏碁公司的資訊資產不受任何外部干擾、破壞、攻擊或任何其他破壞性或負面的行為意圖的影響。
- 確保宏碁公司遵守相關法律義務。
- 確保宏碁公司 IT 服務的連續性。
此政策規範框架符合「歐盟通用數據保護條例(General Data Protection Regulation, GDPR) 」法規及「台灣個人資料保護法」等相關法規及主管機關之要求,確保個人資料之蒐集、處理或利用。並遵循「美國保護營業秘密法(DTSA)」及「台灣營業秘密法」等著作權、商標、專利保護相關法規。政策每年至少重新審查一次,以檢查是否符合最新技術和業務發展的法律規定,以確保資訊安全維運之可行性和有效性。
資通安全風險管理架構
宏碁公司於2022 年設立「風險管理執行委員會」,資安長為委員會成員之一,負責本公司之資訊安全及保護相關政策制定、執行與風險管理等,範圍包含 IT 系統 和產品資訊安全。
為進一步提升集團資訊安全風險管理,宏碁公司於2023 年設立「資安治理委員會」,由宏碁資訊暨網路安全中心統籌,委員代表包括宏碁IT 產品線負責人及集團內子公司總經理,下設工作小組,負責集團資訊安全及保護相關政策制定與風險查核等,每季透過「風險管理執行委員會」向董事會彙報集團資安治理成效、資安相關議題及方向。
有關宏碁集團資安組織圖,請參照永續網站風險管理頁面之「宏碁風險管理組織架構圖」。
資安治理
宏碁作為全球品牌公司,資訊安全的防護,對於品牌價值與投資人、客戶等相關利害關係者對公司的信任,極為重要。宏碁持續完善全球資訊安全組織與資安政策,推動與辦理資訊安全管理制度之各項工作,確保宏碁集團的資訊資產符合相關法律法規和標準,並且定義保護宏碁集團資訊系統和服務所必需的安全控制措施。
我們成立全球資訊安全管理組織,並依其組織架構與權責,共同維持管理制度穩健之運作,進而達成強化資訊安全管理目的。資訊安全管理組織由全球資訊技術總部主管擔任資訊安全管理系統主管,並指派協同召集人,由各處主管擔任資訊安全管理組織委員,並指派代表成立資訊安全管理團隊、資訊安全建置團隊及資訊安全事件應變團隊。資訊安全內部稽核組由稽核擔任,支援組由人資、總務、行銷、法務與財務等部門組成。
自 2021 年10 月,宏碁開啟 Global Re-architect 專案,預計用2 年時間重新檢視全球各區之資訊安全及基礎建設。我們於2022 年4 月完成ISO27001 覆核,並於同年9 月完成重新驗證,確保宏碁公司 ISO27001: 2013 持續有效,並持續透過規劃、建立、執行與監督的機制,保護資訊資產的機密性(Confidentiality)、完整性(Integrity)以及可用性(Availability)。宏碁於2023 年3 月、9 月通過第三方驗證單位BSI 之覆核,確保宏碁公司 ISO27001: 2013 持續有效。協助泛歐IT 導入資訊安全管理系統,並輔助重要核心系統於2023 年7 月成功通過ISO27001 驗證。
2023年資安管理重點與執行成果
- 持續維運ISO 27001資訊安全管理系統,落實PDCA持續精進管理精神,並辦理ISO27001:2022 Workshop,確保同仁認知以及控制措施依新標準升級,降低資安風險。
- 修訂資安政策與管理要點,並持續發布全球Cyber Security細項政策,確保組織資安作法與ISO27001:2022版本新規範接軌。
- 擴大ISO 27001 管理規範與認證至海外其他分公司,提升全球資安防禦水準,擴大整體安全管理之基礎以提昇公司形象及達到永續經營目標。
- 持續落實資安情境演練,強化員工資安事件處理應變能力及公司對攻擊的風險承載度。
- 導入端點 OS自動化 Patching 方案,強化端點安全度。
- 建立雲端資源合規自動化檢查機制
落實資安管理,深耕資安文化
宏碁為提升資訊人員之資安意識及深刻了解資安活動執行之目的,舉辦年度 ISMS Workshop 與資安活動執行說明會,確保第一線執行資安活動的同仁能知而後行,並持續給予管理單位建議以不斷優化未來的資安執行方案,產生資安之正向循環,並以此培養組織內部之資安文化。
資訊安全訓練
宏碁公司落實人員教育訓練,提升資訊保護機制與資訊安全管理。2023 年第二季,針對全球 IT 部門員工資安教育訓練,100% IT 人員完成教育訓練。
另外,並針對全球全部門員工實施資安教育訓練,內容包括:密碼、網路釣魚、遠端工作、勒索病毒、
商務電子信件攻擊。
ISMS Workshop
除既有之資安訓練,為落實組織資訊人員之重點資安工作執行,由宏碁全球資訊總部資訊安全管理室定期舉辦資訊帳號盤點、營運衝擊分析、目標有效性量測、風險評鑑等重點工作項目之說明會,並搭配與時俱進之ISMS Workshop簡報、FAQ、說明影片之教材確保資安工作之活化與傳承。
資訊安全演練
宏碁為建立有效的主動式防駭安全機制,並確保當公司資訊系統遭受天災、人為因素或惡意攻擊時,員工能即時進行通報及處理,將災害衝擊降至最低,故每年舉行「弱點掃描檢測」、「滲透測試」及「營運持續演練」等之資安情境演練,透過多場演練逐一檢視流程、評估各階段風險係數,建制應變暨復原計畫,強化企業對網路攻擊的風險承載度,提升緊急應變能力。
Acer 定期每年除了執行火災消防、電力中斷、地震逃生等災害應變演練外,並於每季度針對核心系統(包含企業資源規劃系統,訂單管理系統及財會系統)及超過 100 多項子系統依規劃執行不同程度的復原控制措施的演練,將災害之衝擊最小化。
弱點掃描檢測針對主機作業系統及網路設備等安全性問題每年定期進行弱點掃描檢測,並藉由弱點掃描與結果評估報告提早發現系統維運之安全弱點,及時完成弱點修補作業,避免弱點遭受入侵攻擊。 | |
滲透測試透過第三方專業資安機構每年辦理以駭客思維與手法的入侵攻擊演練,嘗試突破網路或系統的防禦,應用軟體、網路服務等系統設備之安全弱點與漏洞,設法取得控制權限或未授權之機敏資訊,使資訊人員熟練個人電腦或伺服器遭受惡意攻擊時之判斷、通知、隔離、處理及復原等程序,藉以提升企業網路及資訊系統的安全強度,降低資訊安全風險。 | |
營運持續演練為了當重大災難發生時,宏碁公司能夠及時採取相對應的持續營運策略,使能持續支援公司產品及主要服務的提供,於資訊安全管理文件訂立「營運持續管理要點」,以作為管理依據,並遵循ISO 27001管理系統標準定期執行演練,以檢視營運持續計畫有效性並持續改善精進。同時針對資訊系統進行復原時間目標(RTO),復原點目標(RPO)及應用服務等級評估,衡量機密性、完整性、可用性及適法性等面向後,進行整體衝擊等級評估,藉以落實營運持續管理系統運作及資源整合,確保系統持續有效及客戶與利害關係人之最大權益。 |
2024 年資安管理強化重點
- 使2024 年全球 IT 部門同仁之資安訓練完成率達到100%
- 遵循 ISO27001:2022 版本發行新版ISMS 相關文件以符合需求
- 2024 每半年完成一次ISO27001 驗證之覆核
- 2024 召開24 次ISMS 雙週會,確保組織的資安依循 PDCA 執行
- 2024 成立集團資安治理委員會以降低集團資安風險
- 將公司資安風險控制範圍從IT 系統擴大至IT 產品
- 透過獨立資安組織達到資安治理要求和強化資安風險查核力道
- 持續Global Re-architect & ISMS (ISO27001) 專案執行
- 強化資安控制政策、流程與框架,並訂定標準來識別資安成熟度
- 強化網路防火牆與網路控管,透過網路架構微分割防止惡意軟體橫向跨區擴散
- 導入特權帳號多層次管控機制,防止特權外洩
- 導入端點管理機制,管理、保護與部署企業資源與應用程式
- 定期執行資安演練,持續優化機制
- 建立雲端資安自動化控管架構
- 強化備份有效性,提供可迅速重新建置的復原解決方案
2024 年資訊安全新聞
- 2022/09/13 通過第三方資訊安全驗證公司 BSI 重新驗證宏碁公司 ISO27001: 2013 持續有效
- 2023/03/16 通過第三方資訊安全驗證公司 BSI 後續拜訪驗證宏碁公司 ISO27001: 2013 持續有效
- 2023/09/14 通過第三方資訊安全驗證公司 BSI 後續拜訪驗證宏碁公司 ISO27001: 2013 持續有效
- 2024/03/08 通過第三方資訊安全驗證公司 BSI 後續拜訪驗證宏碁公司 ISO27001: 2013 持續有效