資訊安全管理

資訊安全管理

資通安全組織與架構

為確實掌握資訊及通訊安全,本公司已於2021年成立「資訊安全管理委員會」,由總經理擔任召集人督導全公司資訊安全政策,參酌ISO 27001:2013資訊安全管理系統國際標準及公開發行公司建立內部控制制度處理準則,以資訊技術暨安全部為資訊安全專責單位,資訊技術暨安全部主管擔任資通安全管理代表,統籌資訊安全及保護相關政策制定、執行、風險管理與遵循度查核,各資安業務相關單位(產品、個資、隱私等)指派資訊安全代表,定期召開資安會議,討論資訊安全政策及其他資安相關重大議題,督導全公司資訊安全作業執行以及資安風險管理機制之有效性,並定期向董事會陳報整體資訊安全管理組織相關資安管理作業及制度之執行成效。​

D-Link 友訊科技 資訊安全組織

D-Link友訊科技資訊安全組織

資訊安全管理策略

本公司已於2022年2月22日董事會通過「資訊安全管理政策」,透過每年定期檢視,確保資訊資產的機密性、完整性、可用性及適法性。

系統資安

本公司已通過「ISO/IEC 27001:2013 資訊安全管理系統(Information Security Management System, ISMS)」國際標準驗證,目前證書之有效期為2020年10月16日至2026年10月15日。透過ISO 27001資通安全管理系統之導入,強化資通安全事件之應變處理能力,保護公司與客戶之資產安全。
 

產品資安

D-Link在產品開發與生產過程中,始終遵循嚴格的安全規範,確保所有產品均通過相關的資安測試,並且無可利用的漏洞後方可投入生產。為了持續維持高水準的產品資安,每年進行內部自我稽核,並每兩年委託外部第三方資安驗證機構進行獨立稽核審查。此外,D-Link也對合作廠商進行定期資安稽核,嚴格把關產品的資安品質。

產品資安

本公司已於2020年通過「IEC 62443-4-1:2018 產品安全開發制度認證 (Secure Product Development Lifecycle Requirements)」國際標準認證,目前證書之有效期為2020年11月30日至2025年11月29日,從產品設計、開發、測試到導入的產品生命週期,都遵循嚴格安全規範。

 

 

 

產品資安

為應對歐盟將於2025年實施的CE RED 指令增列資安條款Article 3.3 (d), (e), (f),D-Link亦優先於2022年中正式啟動專案,並提前依據ETSI EN 303 645的要求對產品安全規格進行修改,以符合指令的早期規範,並持續關注RED新安規的發布,一旦正式公佈,D-Link 將立即配合實施。目前,D-Link的AQUILA PRO AI系列M30 AX3000 Wi-Fi 6雙頻無線路由器已於2023年5月獲得全台首張EN 303 645合格證書,後續所有銷往歐洲的無線產品也將陸續通過CE RED新資安法規的認證。

個資保護

本公司已於2021年通過「BS 10012:2017 個人資料保護管理制度 (Personal Information Management System, PIMS) 」國際標準驗證,目前證書之有效期為2021年12月01日至2024年11月30日,規範所有相關程序與適用文件,除符合歐盟一般資料保護規範(GDPR)要求。

隱私權保障

本公司已於2022年3月取得「TRUSTe隱私權認證標章」國際標準認證,為了落實隱私權的保障與安全性的承諾,本公司自2014年起即與全球公認資料隱私權管理權威TrustArc Inc.密切合作,由其提供隱私權評估、認證、監測工具等服務,對外服務網站及其網域均通過其稽核與認證,並業已獲得TRUSTe隱私權認證標章。

資訊安全風險管理與持續改善

D-Link長期深耕網路設備與服務,對資訊安全極為重視,關注範圍包括員工、組織、供應商及營運相關資訊資料及軟硬體設備。本公司遵循ISO/IEC 27001:2013資訊安全管理系統標準,制定資安政策,強化資安管理,確保重要資訊資產免受內、外部蓄意或意外之威脅,以維護資訊之機密性、完整性與可用性。後續透過資訊資產及風險管理程序,將重要的資訊資產以PDCA模式建置與維護,確保業務持續運作、降低業務風險、提高服務品質,並確保所有資安相關政策、程序與作業指引能一致且有效地在日常營運中落實。
 

資安具體管理方案

資安防護與管控

網路安全
• 導入先進技術執行電腦掃描與軟體更新,強化軟體防火牆與電腦管控,防止電腦病毒擴散
裝置安全
• 健全端點防毒掃毒機制,防止勒索病毒與惡意程式進入公司
• 郵件系統強化惡意軟體、木馬程式附件偵測
應用程式安全
• 制定應用程式的開發流程安全檢查、評核標準及改善目標
• 持續強化應用程式的安全控管機制,修補可能存在的漏洞
存取控制
• 訂定使用者密碼管理機制、網路安全服務機制、區隔內部網路及聯外方式,管控遠距工作使用,維護網路及資料安全
密碼金鑰管理
• 為確保公司的系統運作與帳戶的機密性,進行必要的密碼與金鑰管理,將外洩風險降至最低,適當保護本公司之機敏性資訊
• 建立密碼原則並且要求定期更新
營運持續管理
• 為確保本公司業務持續運作,應建立重要系統之業務持續運作計畫並落實每年定期演練
資訊安全事件管理
• 為降低資訊安全事件造成之損害,建立資訊安全事件通報及處理程序

資安風險檢討與持續改善

教育訓練與宣導
• 加強員工對郵件社交工程攻擊的警覺性,執行釣魚郵件防禦偵測
• 定期舉辦持續營運演練,提升員工資安意識
資安風險管理監控
委託第三方公正檢驗單位,定期執行公司資訊安全評鑑:
• ISO/IEC 27001:2013 資訊安全管理系統
• IEC 62443-4-1:2018 產品安全開發制度認證
• BS 10012:2017 個人資料保護管理制度
外部威脅偵測防護
• 委託第三方公正檢驗單位定期執行弱點掃描,定期蒐集外部威脅情資,並依據情資內容進行風險評估,強化外部資安 威脅防護
• 已加入台灣電腦網路危機處理暨協調中心(TWCERT/CC),定期蒐集外部威脅情資,並依據情資內容進行風險評估, 由資安人員確認與追蹤各項情資處理結果,藉此強化外部資安威脅防護

投入資通安全管理之資源

重大資通安全事件

本公司於 2023 年 10 月發生商用網管軟體 D-View 舊版本資料外洩事件,經查為 2015 年以前測試備份資料保管不當,導致 700 餘筆半公開且低敏感度之資料外流,對公司整體營運並無影響,且未損及客戶權益。目前已全面啟用 2FA 驗證登入機制,並加強測試機房和公司內部網路管理,定期進行社交工程演練與持續施以資安教育訓練,以提升員工資安意識,同時委託第三方(勤業眾信)進行公司資安現況檢測,全面加強資安防禦措施並降低相關風險。