資訊安全管理

資訊安全風險管理架構

本公司於2022年1月成立資安委員會，並經2025年2月11日董事會通過指派魏遜泰副總經理兼任資安長，領導資安委員會統籌資訊安全及相關事宜，擬定與執行內部相關管理程序，並定期進行內部資訊安全檢查。

資安委員會每年召集管理審查會議，檢討資安執行狀況、修訂資訊安全政策及相關管理程序。

資訊安全政策

建置安全及可信賴之資訊化作業環境，確保公司資料、系統、設備、網路及資訊業務服務的安全，以保障公司業務永續運作，特訂定資訊安全政策如下：

1.建立資訊安全管理系統，維護公司資訊資產之機密性、完整性與可用性。

2.保護公司各項資訊資產，防止未經授權之存取、修改及刪除。

3.確保公司各項資訊服務之執行須符合政府主管機關、利害關係人或資通訊安全組織之規範與要求事項。

具體管理方法

本公司近年來積極強化公司整體之資訊架構，具體進行多項資訊安全強化專案，並參考ISO 27001資訊安全國際標準制訂企業資安政策，範圍包含：

1. 強化內外網路安全

   (1) 使用一線品牌之次世代防火牆進行網段隔離及保護。

   (2) 使用外部資安監控系統隨時觀測是否有漏洞產生。

   (3) 導入IP/MAC管理系統，加強外來網路設備之監控機制。

   (4) 定期進行弱點掃描與滲透測試，並加以修補。

   (5) 啟用多因子驗證VPN，強化遠距辦公之安全性。

2. 加強端點安全

   (1) Windows定期更新。

   (2) 導入端點管控系統管理。

   (3) 佈署知名防毒軟體防護。

   (4) 啟用MDR威脅偵測應變服務。

3. 資料外洩保護

   (1) 建立電子文件加密機制。

   (2) USB儲存設備管控。

   (3) 使用者權限分級。

   (4) 建立VDI架構。

4. 郵件安全

    (1) 垃圾、病毒或釣魚郵件阻擋。 

    (2) 建立郵件備存機制。

5. 增強IT基礎架構

    (1) 建立資料異地備份機制，並且每半年針對重要系統進行災難復原演練。

    (2) 伺服器及網路叢集架構建立。

6. 提升員工資安意識

    (1) 每季定期進行社交工程演練。

    (2) 定期透過員工入口網站進行資安政策宣導。

    (3) 資訊人員每月進行資安事件的研討。

投入資訊安全管理之資源

1.本公司積極強化整體資訊安全架構，具體進行多項資訊安全強化專案，項目如下：

  (1)招募專責資訊人才。

  (2)加強端點防護，評估網路微分段系統導入。

  (3)增加編列預算，建置跨廠高可用性架構。

2.資安委員會2024年執行情形：

  (1)本公司於2022年1月17日成立資安委員會，成員共計13位。

  (2)本公司設置資安主管1位，專責資安人員1位。

  (3)2024年資安委員會召開管理審查會議1次，資安小組召開專案會議26次，資安稽核小組召開内稽會議3次。

導入ISO27001

本公司於2021年11月著手導入ISO27001，並於2022年8月通過驗證，效期為2022年8月17日至2025年8月16日。