资讯安全战略升级 明基材料通过ISO27001认证

微软CEO曾说COVID-19让企业数位转型加速五年以上，物联网(Internet of Things, IoT)、云端、人工智慧(artificial intelligence, AI)等创新科技被大量应用于工作中，加上「远距工作」掀起VPN需求，企业内网的安全性也受到了严峻的挑战。
在勤业众信[1]的调查中，有69%企业指出2021年遭受网攻频率比往年增加，近年来也发现骇客攻击开始锁定特定产业，包含半导体、电子及3C产品制造业，以及线上零售、云端服务…等先进产业。 随着这几年国内上市公司爆发多起重大资安事件，政府便着手修正相关法令，并于2021年12底公布「上市上柜公司资通安全管控指引」，协助企业完善资讯安全机制，强化经营管理，并要求公司依据营运规模编制一定比例的资安人员。
在积极提升全方位数位转型下，明基材料也将资讯安全管理列入公司治理的一环，将资讯安全管理纳入风险管理策略来实施，并在资讯技术处下设置资安专责单位，藉此佈署与落实资安策略。2021年5月藉由导入ISO27001为契机，将与营运重要性高之系统及机房设定为导入验证之标的，加以强化相关资讯安全管理作业，并于2022年4月获得并通过英国标准协会(BSI)之验证。ISO 27001资讯安全管理系统是国际公认的资讯安全管理之稽核规范，藉由提供架构让组织能彻底找出并控制资讯安全风险、减少可能的意外、使之更能遵守法规并且改善整体安全成熟度，来达到安全的资讯工作环境。过去一年，明基材料资安专责同仁从规章制度着手，为公司建立不同构面的指引，针对内部的整体资讯进行安全风险评估，瞭解可能的弱点，然后根据相关风险的高低，并从政策面、管理面及执行面全面执行规划资讯安全解决方案。对电子制造业来说，最害怕的莫过于因为厂区的办公室自动化(Office Automation, OA)系统异常，而造成产线的停摆或是内部网路及信箱无法使用进而影响公司的营运，因此明基材料也从三个厂区(桃园厂、龙科厂、云林厂)的ERP 、内网系统以及工厂制造系统着手，导入验证之标的，包括管理文件化及标准化，促进跨部门沟通及合作，建立资安面向正向循环之流程管理、软硬体管理，藉以提升公司资安成熟度，今年更会进一步与中国厂区的资讯技术处同仁共同建构更全面的资讯安全管理制度。
此次获得ISO27001认证，代表公司在资讯安全之政策与措施均符合ISO的要求规范并获得国际级验证机制之认可。从ESG企业永续经营的角度着手，资讯安全管理已是世界的共识，随着企业大量应用多重网路科技，资讯安全的管理会渐趋细緻化，过往较不成熟的技术规章以及稽核制度都需要调整，从制度层面高度执行，同时培养内部同仁拥有正确的资安观念，才能在与时俱进的同时，及早做好防护，预防风险发生。
 
[1] 勤业众信联合会计师事务所(Deloitte & Touche) 全球「四大会计师事务所」之一，为各行各业的上市及非上市提供审计、税务、风险谘询、财务顾问、管理顾问及其他相关服务。