資訊安全
資訊安全
保瑞藥業持續優化資安系統,近年來汰換與導入資安防禦機制,如次世代防火牆之佈署、垃圾郵件過濾、置換新世代備份系統、執行弱點掃描及強化系統安全, 年定期辦理資安教育訓練及宣導,提升全員資安意識,提升資安防護水準, 並聘任具有ISO 27001、資訊系統稽核人員認證CISA、ISACA國際電腦稽核師CISA多重認證的資訊安全主管, 負責統籌相關管理措施,並設定供應商審核的標準,要求系統維護廠商,均須通過ISO/IEC 27001認證,方可成為本集團之供應商, 並透過專業的建議,強化資安防護的工作。 經查2022年未發生重大資安事件之情事。
資訊安全相關措施
依據保瑞藥業資訊安全管理制度,成立「資訊安全推動小組」, 負責保瑞藥業資訊安全管理事項之協調、推動及督導, 由總經理擔任資訊安全推行小組召集人,委員則由各部門主管組成, 「資訊安全推動小組」下設「資訊安全處理(應變)小組」。
資訊安全教育訓練
2022年度資訊安全教育訓練共舉辦了41,067人次,共計6,902小時之教育訓練,以提升保瑞藥業成員的資訊安全認知,時時關注資訊設備使用過程中,潛在產生的資訊安全的風險, 以下羅列各項訓練主題:
2022年資訊相關作為主軸分為三大塊:網路安全防護設備監控網路行為、建立異地備援機制、設置資訊安全防護機制, 主要因為近期因應疫情之需求,有潛在遠距工作之需求,可能在其他地方使用公司資訊的狀況, 為有效防止惡意攻擊及入侵,阻斷帶有惡意企圖的網路行為,並留存相關紀錄,並解決潛在資料遺失之風險, 系統與資料定期備份,每年定期進行備份資料回復測試, 保瑞藥業積極在資訊系統設置保護措施,避免公司資訊遺失及遭竄改之風險。
資安教育訓練
| 會議名稱/課程宣導主題 | 時數 | 參加人次 | 年度總時數 |
|---|---|---|---|
| Town hall 資安分享(5月) | 0.25hr | 700 | 175hr |
| Town hall 資安分享(8月) | 0.25hr | 700 | 175hr |
| Town hall 資安分享(12月) | 0.25hr | 700 | 175hr |
| IT資安宣傳(週報) | 0.15hr | 37,800 | 5,670hr |
| 內部教育訓練 | |||
| 1. 新進人員資安訓練 | 0.5hr | 98 | 49hr |
| 2. 社交工程防範訓練 | 0.5hr | 842 | 421hr |
| 3. 防火牆設定教學 | 2hr | 4 | 8hr |
| 4. GMP資安訓練 | 0.5hr | 200 | 100hr |
| 5. IT人員資安訓練 | 3hr | 19 | 57hr |
| 外部研討會 | |||
| 1. 微軟安全性虛擬培訓日 | 6.5hr | 2 | 13hr |
| 2. 系統與網頁弱掃防禦實務 | 5hr | 1 | 5hr |
| 3. 資安人才培訓課程 | 54hr | 1 | 54hr |
資訊管理措施
保瑞藥業制定「資通訊安全政策」, 為了充分整體規劃與推動各項資訊安全政策之業務執行,特別設立了資訊處資訊安全部門,並聘任資訊安全主管,由資訊安全主管帶領部門同仁,負責資訊安全各項推動工作, 2021年度無發生外部攻擊造成系統毀損,無法復原的情況, 以下羅列各項管理作為:
因資訊防護的資訊與設備不斷更新,資訊安全也持續擬定各項目標,持續守護保瑞藥業的資訊安全, 以下羅列各期間之目標:
保瑞藥業亦針對資訊安全,設定嚴謹之防火牆政策,非安全網域之排除,避免人員誤入不安全之網路,而對資訊環境造成危害, 並由資安人員做日常異常監控、分析、管理,以杜絕公司資產有潛在受損之可能。