資訊安全強化 | ACER ESG

資訊安全強化

資訊安全強化

資安管理流程

資安成效管控

公司持續透過第三方評核,回應資安風險,並予以矯正,確保資安防護機制符合產業標準。

  • 產業標準為藍色曲線,分數約為 82,成熟度為 B。
  • 宏碁為黑色曲線,除首季的資安事件外,保持向上態勢,2023年6月後穩定居於產業平均表現之上,分數為90,成熟度評比維持在A級。

     

 

投入資通安全管理之資源

2023 年企業資訊安全措施推動執行成果:

01 | 政策

總部新增/修訂 49 個 ISMS 資安管理要點、程序書、表單

 
總部新增/修訂 5 個 CSF 資安規

02 | 認證

  • 總部於 2019 年通過 ISO/IEC 27001:2013 初次認證
  • 總部於 2022 年通過 ISO/IEC 27001:2013 重新驗證
  • 總部於 2023 年通過 ISO/IEC 27001:2013 覆核
  • 泛歐於 2023 年通過 ISO/IEC 27001:2013 初次認證

03 | 宣導

1 支宣導短片

製作 1 支宣導影片,並舉行 20 場宣導說明會傳達資訊安全重要規定與重點工作執行注意須知

437 名完成資訊安全說明課程

新進人員共計 437 名於新人訓期間完成資訊安全說明課程

10 次資安公告

共計 10 次資安公告,傳達資訊安全重要規定與注意事項

04 | 風險控制

5,642 名完成課程

5,642 名員工完成年度資訊安全線上教育訓練課程

2 次社交工程演練

執行 2 次電子郵件社交工程演練,人數超過 6 千人

6 次 滲透測試,檢查標的超過90個

執行 2 次 DDos 壓力測試

 
2 次 Web 弱點掃描

執行 2 次 Web 弱點掃描,檢查 283 個網站 URL

4 次 OS 弱點掃描

執行 4 次 OS 弱點掃描,檢查超過 10000 個弱點

資通安全風險與因應措施

公司已建立全面的網路與電腦相關資安防護措施,但無法保證其控管或維持公司營運等重要企業功能之電腦系統能完全避免來自任何第三方癱瘓系統的網路攻擊。在遭受嚴重網路攻擊的情況下,系統可能會失去公司重要的資料。惡意的駭客或地緣政治引起的網路攻擊,亦能試圖將電腦病毒、破壞性軟體或勒索軟體導入公司的網路系統,以干擾公司的營運。

公司過去曾經因 WFH 同仁誤點釣魚郵件而遭受勒索軟體攻擊,未來也可能面臨類似的攻擊。為了預防及降低此類攻擊所造成的傷害,公司落實相關改進措施並持續優化,例如: 惡意郵件過濾機制,以減少釣魚郵件進入同仁郵箱;強化網路防火牆與網路控管,以防止惡意軟體橫向跨區擴散;特權帳號多層次管控,以防止盜用;導入先進解決方案,進行合規機器的查核;導入新技術以偵測與處理惡意軟體;定期執行系統弱點掃描與修復和員工警覺性測試。

公司未來的資安防禦重點

客戶資料不外洩

透過多層防護,即便遭受勒索軟體攻擊,駭客也無法取得客戶資料。

加強防禦與監控

加強整體資安防禦與監控機制,增加駭客攻擊難度進而降低對公司的攻擊企圖,並全面部署端點偵測及回應軟體,確保異常行為的可視性。

內部系統區隔化

各地區系統與總部資料中心採網路零信任架構,及強化資訊系統營運持續演練,使得公司即使在駭客惡意攻擊下,也可降低影響範圍,並在可接受的預期時間內回復系統運作。