卓越治理|資訊安全

  • 卓越治理
  • 資訊安全

資訊安全

新唐積極開拓新市場,持續維持公司營運獲利狀況 ,並投入策略性專利佈局,為確保誠信經營與遵循法令,隨時關注 可能影響公司之國內外政策與新興風險,定期宣導誠信經營之核心價値,建立穩健的企業文化,發展永續新局。

SDGS
SDG 8 合適的工作及經濟成長
SDG 9 工業化、創新及基礎建設

100

%

誠信經營教育訓練

5.77

每股盈餘

4954

全球獲准專利累計超過

公司治理
氣候變遷
企業誠信
資訊安全

資訊安全

新唐訂有「新唐安全政策」與「資訊安全管理辦法」,並據此建立管制措施,持續維持安全的資訊環境,以保護新唐、客戶的資訊免遭竊盜、電腦犯罪、工業間諜活動或其他形式的傷害和損失。與往來廠商、客戶簽有保密合約,相互保護機密資料,避免機敏資料的不當揭露。此外,本公司依據資訊安全業務內部控制制度每年進行內部查核作業、定期召開資訊安全管理會議,進行資訊安全作業審查與定期追蹤改善,同時將定期對於內外部關係人議題進行風險評估,如客戶、廠商、內部員工、主管機關等。
我們於 2022 年 12 月設立資訊安全長(CISO)及成立新的資安專責單位—資訊安全部,主要任務是協助並領導公司提升資訊安全能力,維護資訊系統、身分與資料的機密性、完整性與可用性。2023年度,為讓客戶能安心地與我們合作,新唐臺灣因應客戶要求,導入並驗證新版 ISO27001:2022 國際資訊安全管理系統,新唐日本則是於成立後便取得ISO27001:2013認證,此外,新唐日本因有IC卡與車載相關產品的業務,已取得ISO/IEC15408、ISO/SAE21434:2021認證。

資安風險管控措施

項目具體作法2023年成效
提升同仁資安意識
  • 每月發出資訊安全宣導
  • 每季資訊安全教育訓練 (社交工程訓練)
  • 每年個人資料保護教育訓練
  • 不定期資安時事或重大事件宣導
新唐臺灣
  • 社交工程教育訓練課程執行率達 97% 以上,未完訓者,關閉上網瀏覽權限
  • 資安宣導 12次
新唐日本
  • 資安宣導:聯合朝會6次、訓練教材發布6次、召開資安推進委員會9次並發布會議紀錄,2023年共調訓1,632人,完訓率100%。
資安監控與異常事件通報處理
  • 每週提供監控記錄及分析報告
  • 每週進行資安監控會議討論,檢視事件及採取應對措施
  • 加強通報機制,將防毒通報及雲端服務異常登入行為自動化,直接通報當事人進行處理,加快處理時效
  • 2023 年新唐臺灣與新唐日本皆無發生重大資安事件及影響
弱點及漏洞管理
  • 地端主機,每季執行弱點掃瞄作業,每月定期安排停機作業
  • 進行微軟重大更新的修補
  • 外部服務,以 SSC 雲端掃瞄工具監控風險
 
  • SSC 雲端監控平台總分數平均 > 90分(A級),共修補51個風險,其中 13筆為高 / 重大風險。
身份存取管控
  • 雲端服務,使用條件式存取及多因子驗證,並僅允許合規設備以及使用特定程式
  • 遠端連線,使用身份識別 + 多因子驗證 + 設備白名單,滿足條件方可連線
  • 定期更新密碼
針對雲端登入及遠端存取的資訊日報表,對設備未註冊及嘗試登入行為進行分析與調查,2023 年新唐臺灣與新唐日本皆無發生重大 / 高風險事件。
實體安全防護根據員工業務而有不同的門禁區域,出入各區域需使用門禁卡進行身分驗證
  • 符合 ISO 15408 資訊技術安全評估共同準則之門禁安全要求
  • 新唐日本更換新讀卡機與員工門禁卡
程式碼安全
  • 應用程式部門,於新系統、對外服務系統及重大改版上線時,需執行程式碼安全性檢查, 並進行高風險程式碼的修補,提升程式上線安全
  • 更新程式碼掃描資料庫,提升程式碼檢測效率。
新唐臺灣
  • 2023年新上線系統共13個, 高風險程式碼修正改善率為100%,執行源碼掃描的程式覆蓋率 100%
郵件安全
新唐臺灣
  • 加強郵件伺服器安全設定,SPF 設定本公司授權的郵件寄送主機,DKIM 與 DMARC 設定可以防止郵件遭仿造篡改
新唐日本
  • 使用 Outlook 的安全外掛程式,在發送電子郵件時檢查目的地、正文和附件來防止錯誤的電子郵件發送
  • 使用IT設備管理工具(AssetView)的電子郵件監控功能監控不當電子郵件發送
新唐臺灣
  • 所有郵件都需經合法郵件伺服器驗證,外部寄送成功率為100%
新唐日本
  • 替換為包含新功能的新外掛程式

客戶隱私保護

隨著資安威脅的日益增加,新唐透過強化資訊安全防護,擴大資安與個資國際標準認證範圍提升作業安全與個資保護作業,確保公司達到保護客戶隱私及防範營業秘密與智慧財產權遭竊或外洩,除每年定期進行稽核內控自評作業,依據單位管理之人員、客戶、廠商資料設置控制點,定期檢查及記錄控制點執行狀況,並於每年進行覆核稽查作業以建立完整的資訊安全環境,以避免重大偶發事件與裁罰之發生,維護企業及客戶聲譽。 新唐日本對外發布隱私權政策,在處理個人資訊時,會事先取得客戶、業務夥伴的同意,若從第三方接收或向第三方提供個人資料,皆遵循個人資料保護法。

客戶隱私保護作為

ISO 27001資訊安全管理系統
新唐將客戶視為重要的策略夥伴,盡力滿足客戶需求與期望,我們亦重視客戶機密及資訊保護,嚴格控管客戶相關資訊,與客戶往來之文件、資料等商業資訊,均由新唐內部高度防護系統所保存,且與新唐有往來之重要廠商或客戶皆簽定保密合約,要求互相保護機密資訊及避免客戶資訊隱私與營業秘密秘密遭外洩,並透過ISO 27001資訊安全管理系統,建立更完善的資訊安全防護制度。2023年新唐未發生侵犯客戶隱私權及遺失客戶資料的投訴案件。
隱私保護法令
為確保符合包括「個人資料保護法」、「歐盟地區施行之個人資料保護規則」(General Data Protection Regulation,GDPR)及美國加州地區之「加州消費者隱私保護法(California Consumer Privacy Act,CCPA)等隱私保護法令之規定,新唐母公司已於2023年度向全員進行「個人資料保護法」調訓,訓練內容包含歐盟GDPR簡介與臺灣個資法,完訓率100%;新唐日本則在公司內部入口網站上發布有關個人資訊的培訓資料,以利所有員工隨時查看。
資訊技術安全評估共同準則
新唐臺灣於 2014 年通過ISO 15408 Common Criteria EAL 4+ 產品安全認證。驗證內容涵蓋「產品設計開發、生產 以及運送過程 」階段。此代表新唐臺灣對於產品資訊安全的各項管控符合國際安全組織 Common Criteria 要求,可生產符合國際標準可信賴之安全性產品並保護客戶資訊與資產。
簽署保密合約
新唐在提升對客戶服務的同時,更重視維護客戶隱私權及智慧財產權。與客戶簽署保密合約以保護客戶機密資訊,並設有機密資料保護程序,確保機密資料無外流風險,妥善保護客戶隱私。