合勤投控致力於透過科技創新及與關鍵夥伴的緊密合作來優化網路安全、推動數位轉型,並創造值得信賴且安全的網路世界。身為擁有資訊安全軟硬體設備與技術能力兼具的網路通訊大廠,且有業界最廣泛多樣的資訊安全解決方案組合,面對日益嚴峻的資安威脅,我們取得ISO 27001 資訊安全認證,持續強化網路和資訊安全的整合性,確保產品資訊安全,同時提升員工資安意識,評核供應商資訊安全及對客戶與合作夥伴智慧財產安全的保障。
2020年到2022年未發生重大之資安事件,亦無因機密資訊洩漏影響客戶與員工的個資,以及遭受罰款之情事。
| 重大議題策略與目標 | |||
|---|---|---|---|
| 重大議題 | 營運影響力 | 推動策略 | 管理方針 |
| 資訊安全 | 確保資訊資產的機密性,以符合法規,並取得客戶信任 |
|
|
| 重大議題策略與目標 | ||
|---|---|---|
| 2022年達成狀況 | 2025年中期目標 | 2030年長期目標 |
|
|
|
資訊安全管理架構
合勤投控為強化資訊安全管理,建立安全及可信賴之電子化作業平台,確保資料、系統、設備及網路永續運作,並在兼顧資訊安全與工作效率下,執行資料處理、傳送及儲存之安全控管機制,建立了完整的資訊安全管理架構,以治理、推動、檢視為三大管理方向,設置資安組織,制定資訊安全政策,進行意識提升,並定期通過 ISO 27001 資訊安全認證審核,確保符合規範,由資安事件的處理,執行風險鑑別與內外部稽核,定期執行營運衝擊分析與災難復原演練,從而進行改善措施,並追蹤改善成效。
資訊安全組織
成立「集團PSIRT委員會」於「資訊暨產品安全管理處」下轄分別為資訊安全與產品安全管理部門,並直屬董事長室管轄,持續監控潛在外部威脅,立即回應安全問題。
資安風險管理
為確保營運的永續運作,避免重要資訊系統因重大災難事件而導致服務無法持續的風險,合勤投控定期進行資訊安全風險評估。
近三年演練結果,皆達到公司設定目標,詳細統計資料如下表:
| 每年執行關鍵應用系統災難復原模擬演練,以保證企業的營運不中斷 | 目標 | 2020 年 | 2021 年 | 2022 年 |
|---|---|---|---|---|
| RPO <= 10 hrs | 8 hrs | 9 hrs | 7 hrs | |
| RTO <= 24 hrs | 24 hrs | 21 hrs | 19 hrs |
註2:RTO: Recovery Time Objective災難事故發生後,最大可容忍資訊服務復原時間
產品資訊安全
為了持續監控潛在外部威脅,立即回應安全問題,合勤投控成立應變產品資安事件小組(Product Security Incident Response Team,PSIRT),規劃與實施各項產品安全控制措施,協同各公司產品安全代表,找到需要改善的流程及要點,透過機動、持續地修正,並開始訂定安全架構設計原則、原始碼安全檢測、產品安全驗證,從根源去解決,將產品設計融入資安。
加入CVE編號管理者,成為MITRE通用漏洞揭露計畫的CVE Numbering Authority (CNA)成員,不僅是能自行管理並分析產品漏洞,同時,藉由取得國際成員資格,透過這種外部力量的約制,期望讓產品安全在內化的力量能夠加快,加速Security by Design的實踐,在研發過程都需符合安全設計原則,保護合勤投控資訊資產免於內、外部的各項風險衝擊,確保公司資訊安全管理系統的機密性、完整性與可用性。
智慧財產保護
為維護公司創新技術能力的競爭優勢,合勤投控重視智慧財產與機密商業資訊的保護與管制。
2022年營業秘密保護規範課程完訓率:99.8%