创新与服务

资讯安全风险管理架构

本公司于2022年1月成立资安委员会，并经2025年2月11日董事会通过指派魏逊泰副总经理兼任资安长，领导资安委员会统筹资讯安全及相关事宜，拟定与执行内部相关管理程序，并定期进行内部资讯安全检查。

资安委员会每年召集管理审查会议，检讨资安执行状况、修订资讯安全政策及相关管理程序。

资讯安全政策

为建置公司安全及可信赖的资讯运作环境，维持业务持续运作，降低资讯作业风险，保障资讯服务使用者之权益，特订定资讯安全政策如下：

1.建立资讯安全管理系统，维护公司资讯资产之机密性、完整性与可用性。

2.保护公司各项资讯资产，防止未经授权之存取、修改及删除。

3.确保公司各项资讯服务之执行须符合政府主管机关、利害关系人或资通讯安全组织之规范与要求事项。

具体管理方法

本公司近年来积极强化公司整体之资讯架构，具体进行多项资讯安全强化专案，并参考ISO 27001资讯安全国际标准制订企业资安政策，范围包含：

1. 强化内外网路安全

   (1) 使用一线品牌之次世代防火墙进行网段隔离及保护。

   (2) 使用外部资安监控系统随时观测是否有漏洞产生。

   (3) 导入IP/MAC管理系统，加强外来网路设备之监控机制。

   (4) 定期进行弱点扫描与渗透测试，并加以修补。

   (5) 启用多因子验证VPN，强化远距办公之安全性。

2. 加强端点安全

   (1) Windows定期更新。

   (2) 导入端点管控系统管理。

   (3) 佈署知名防毒软体防护。

   (4) 启用MDR威胁侦测应变服务。

3. 资料外洩保护

   (1) 建立电子文件加密机制。

   (2) USB储存设备管控。

   (3) 使用者权限分级。

   (4) 建立VDI架构。

4. 邮件安全

    (1) 垃圾、病毒或钓鱼邮件阻挡。 

    (2) 建立邮件备存机制。

5. 增强IT基础架构

    (1) 建立资料异地备份机制，并且每半年针对重要系统进行灾难復原演练。

    (2) 伺服器及网路丛集架构建立。

6. 提升员工资安意识

    (1) 每季定期进行社交工程演练。

    (2) 定期透过员工入口网站进行资安政策宣导。

    (3) 资讯人员每月进行资安事件的研讨。

投入资讯安全管理之资源

1.本公司积极强化整体资讯安全架构，具体进行多项资讯安全强化专案，项目如下：

  (1)招募专责资讯人才。

  (2)加强端点防护，评估网路微分段系统导入。

  (3)增加编列预算，建置跨厂高可用性架构。

2.资安委员会2024年执行情形：

  (1)本公司于2022年1月17日成立资安委员会，成员共计14位。

  (2)本公司设置资安主管1位，专责资安人员1位。

  (3)2024年资安委员会召开管理审查会议1次，资安小组召开专案会议26次，资安稽核小组召开内稽会议3次。

导入ISO27001

本公司于2021年11月着手导入ISO27001，并于2022年8月通过验证，效期为2022年8月17日至2025年8月16日。