資訊安全強化 | ACER ESG
資訊安全強化
資安管理流程
資安成效管控
公司持續透過第三方評核,回應資安風險,並予以矯正,確保資安防護機制符合產業標準。
- 產業標準為藍色曲線,分數約為 82,成熟度為 B。
宏碁為黑色曲線,除首季的資安事件外,保持向上態勢,2023年6月後穩定居於產業平均表現之上,分數為90,成熟度評比維持在A級。
投入資通安全管理之資源
2024 年企業資訊安全措施推動執行成果:
01 | 政策
總部新增/修訂 18 ISMS 資安管理要點及規範
總部新增/修訂 5 個 CSF 資安規範
02 | 認證
- 總部於 2019 年通過 ISO/IEC 27001:2013 初次認證
- 總部於 2022 年通過 ISO/IEC 27001:2013 重新驗證
- 總部於 2023 年通過 ISO/IEC 27001:2013 覆核
- 泛歐於 2023 年通過 ISO/IEC 27001:2013 初次認證
- 總部於 2024 年通過 ISO/IEC 27001:2013 覆核
03 | 宣導
10 支宣導短片
製作10 支宣傳短片,並舉行26 場宣傳說明會傳達資訊安全重要規定與注意事項
595 名完成資訊安全說明課程
新進人員共計595 名於新人訓期間完成資訊安全說明課程
10 次資安公告
共計10 次資安公告,傳達資訊安全重要規定與注意事項
04 | 風險控制
5,728 名完成課程
5,728 名員工完成年度資訊安全線上教育訓練課程
2 次社交工程演練
執行2 次電子郵件社交工程演練,人 數超過7 千人
1 次滲透測試,檢查標的超過100 個
執行1 次年度滲透測試及11 次專案滲透測試,檢查標的超過100 個
1 次Web 弱點掃描
執行1 次Web 弱點掃描,檢查311 個網站
4 次 OS 弱點掃描
執行4 次OS 弱點掃描,檢查超過8 千個弱點
資通安全風險與因應措施
公司已建立全面的網路與電腦相關資安防護措施,但無法保證其控管或維持公司營運等重要企業功能之電腦系統能完全避免來自任何第三方癱瘓系統的網路攻擊。在遭受嚴重網路攻擊的情況下,系統可能會失去公司重要的資料。惡意的駭客或地緣政治引起的網路攻擊,亦能試圖將電腦病毒、破壞性軟體或勒索軟體導入公司的網路系統,以干擾公司的營運。
公司過去曾經因 WFH 同仁誤點釣魚郵件而遭受勒索軟體攻擊,未來也可能面臨類似的攻擊。為了預防及降低此類攻擊所造成的傷害,公司落實相關改進措施並持續優化,例如: 惡意郵件過濾機制,以減少釣魚郵件進入同仁郵箱;強化網路防火牆與網路控管,以防止惡意軟體橫向跨區擴散;特權帳號多層次管控,以防止盜用;導入先進解決方案,進行合規機器的查核;導入新技術以偵測與處理惡意軟體;定期執行系統弱點掃描與修復和員工警覺性測試。
公司未來的資安防禦重點
 | 客戶資料不外洩透過多層防護,即便遭受勒索軟體攻擊,駭客也無法取得客戶資料。 |
 | 加強防禦與監控加強整體資安防禦與監控機制,增加駭客攻擊難度進而降低對公司的攻擊企圖,並全面部署端點偵測及回應軟體,確保異常行為的可視性。 |
 | 內部系統區隔化各地區系統與總部資料中心採網路零信任架構,及強化資訊系統營運持續演練,使得公司即使在駭客惡意攻擊下,也可降低影響範圍,並在可接受的預期時間內回復系統運作。 |