资安政策、组织与目标
为强化资安防护韧性与管理机制,本公司从公司治理角度出发,订立「日月新资讯安全政策」作为最高管理依据,并定期进行资安事故演练、办理员工资安教育训练及倡导,强化全体安全意识,以确保公司重要信息财产之机密性、完整性及可用性,符合相关法规与规范要求,进而获得客户信赖、提升公司竞争优势,并确保营运与重要业务的永续运作。本公司成立「资安管理分组」,主责整体资安风险管理、督导各子公司资安管理运作、协调沟通内外部技术资源与情资,以期提升资安能量,降低资安威胁与风险。并向高阶管理阶层报告资安治理情况。本公司每季检视及决议公司整体资安策略,以及报告与讨论日月新资安工作进度。
资安风险识别与管理
日月新每年进行资安稽核与健诊,如外部稽核、弱点扫描和渗透测试,确定信息系统和网络环境符合安全实施标准,严格执行信息安全政策与客户隐私保护措施,以保护公司商业机密及客户数据不外泄。针对外界突发性资安攻击,资安管理分组会实时召集平台技术交流和应变会议,分析检讨相关因应与防御措施,建构信息同步的完整防护网。
日月新所有员工每年定期接受PIP 信息安全教育训练,包括信息安全政策、信息安全管理架构、信息安全控制措施等,2024 年共完成11,900 人次,亦不定期进行社交工程邮件演练,加强员工对于邮件社交工程攻击的警觉性。
提升数字韧性
日月新于2024年未发生重大资安事故,除制定相关资安事件等级、通报与应变流程,并且执行各类资安事故演练,透过相关管理机制,把握资安事故处理时效、降低风险与减少受害范围,日月新集团资安管理委员会提供资安情资分享与资安事件报两大功能,实时掌握与传递资安情资,并有效率处理资安事件通报,掌握整体风险情势,提升信息安全应变与防护能力,建立横向之资安联防机制。为确保营运与重要业务的永续运作,避免重要信息系统因重大灾难事件而导致服务无法持续的风险,我们每半年进行一次灾难复原演练。