資訊安全管理

 資訊安全管理

瑞昱為保護企業員工、客戶、投資人與合作夥伴之資通訊安全,以支持企業營運持續與發展之願景,致力於發展資訊安全策略並持續精進,免於因人為疏失、蓄意或天然災害等導致資訊資產竊取、不當使用、洩漏或破壞等風險,瑞昱訂有「資訊安全風險管理架構」,透過持續精進風險管理,不斷地強化治理策略、人員訓練,並進行考核審查與配套措施,打造堅實、安全、與可信賴的企業數位環境,作為公司永續經營的堅固基石。2022年未發生重大資安事件造成營運、商譽受到影響與損失,亦無因違反資訊安全,無發生員工、供應商與客戶向公司進行投訴的情形。

 

 資訊安全政策與組織

為落實與提升資訊安全治理策略,瑞昱成立資通安全指導委員會(以下簡稱為資安指委會),負責檢視資安政策制定與執行成效。資通安全指導委員會由瑞昱資訊安全組織最高主管擔任主席,各單位一級主管擔任當然委員,每年舉行委員會議並向董事會報告。

為落實與提升資訊安全風險管理,瑞昱任命資訊安全長(CISO)領導並成立資安中心(CSC),為企業資安專職專責單位,負責制定與推廣資訊安全政策、規劃與審查資訊安全措施有效性、跨部門資安任務協調、資安認證專案管理、重大資安事件應變、供應鏈資安稽核與資安內部稽核等工作,下轄產品開發資安處、工網資安處、IT/OT資安處、資安教育小組,參考國際資安標準統籌資訊安全政策制定與執行資訊安全政策各項資訊安全保護措施,確保資訊安全管理達到機密性、完整性與可用性之目標。

資安組織圖

 資訊安全風險管理與持續改善架構

由於瑞昱為 IC 設計半導體公司,業務涉及 IC 研發、製造、銷售並提供 IC 產品之軟硬體應用及 IP 開發等,透過各式通訊、儀器設備與資訊系統等資訊科技,與產業鏈上下游及客戶密切合作進行產品研發與交付,瑞昱透過訂定與實施資訊安全管理機制以維護組織資訊安全。

然而,隨著企業營運範圍擴張與複雜化,以及瞬息萬變的資安威脅與持續演化的駭客技術,儘管已實施各項資安防護措施,無法保證能完全阻止嚴重的網路攻擊 突破多重防護機制對組織營運造成影響,瑞昱為積極管 控組織資安風險,支持組織營運發展,評估重要性、風險影響性與對應改善效益,建構縱深防禦機制,並採用 PDCA(Plan-Do-Check-Action)方法,持續強化組織資安風險管理機制。

PDCA

 具體管理方案與投入資源

具體管理方案與投入資源

此外,針對潛在資安漏洞案件,資安小組依循公司內部資安通報流程,啟動漏洞問題修正應變程序,並向上通報。

  • 當收到產品漏洞通知,將依照國際資安組織(MITRE)之規範修正完畢並通知受影響客戶。
  • 透過緊急漏洞通報與處理流程對已揭露之漏洞進行緊急處置程序,並持續改善漏洞處理時限。
  • 2022年收到與產品相關之漏洞回報均已妥善處理結案。

緊急漏洞處理流程

 

 客戶機密資訊保護機制

瑞昱在進行積體電路產品的設計研發過程中,我們重視每一個設計環節,仔細地分析產品如何避免在未經授權情況下取得、使用、破壞、修改或揭露客戶資料。
瑞昱客戶機密資訊保護機制包括:

客戶機密資訊保護機制

 資安教育訓練

瑞昱定期辦理資安教育訓練,透過資訊安全教育月課程及社交工程演練,強化同仁判斷釣魚攻擊之警覺能力,並提升全體同仁的資安意識,建立內部資訊安全觀念,降低因誘騙、誤導而遭受惡意侵害致使公司蒙受損失之風險。

資安教育訓練