資通安全管理
資通安全目的與範圍
資通安全管理係為確保資訊網路安全及穩定,避免資訊系統發生異常及電腦資料損毀,導致公司業務無法持續,本公司已訂定資訊安全政策及資訊安全作業程序,明訂資訊系統、網路及個人電腦的管理規範,以及員工上網與郵件收發的安全行為準則,以保障公司的資通安全。
資訊安全風險架構
本公司於2022年1月成立資安專責單位,並於同年8月設立資安長,負責督導公司資通安全管理業務的執行,定期跨部門召開資通安全推動小組會議,審視資通安全控制措施的實施與成效,以及協調資訊安全管理業務的推動;同時配合資通安全組推動之資安管理作業,整合資安業務的分工與執行的一致性,以及協調公司資源的調度與分配。
資通安全政策
- 遵守法規要求,普及資安意識。
- 重視風險管理,保護資料安全。
- 要求全員參與,追求持續改善。
具體管理方案
| 項目 | 管理方案說明 |
|---|---|
| 網路安全 | 採用多層次緃深防禦架構,建置防火牆、入侵偵測系統(IPS)。 |
| 惡意網址過濾與進階持續性威脅防禦(APT)。 | |
| 裝置安全 | 電腦安裝防毒軟體,並管制 USB 裝置的連接存取,強化端點防護能力。 |
| 即時更新病毒碼及安全性修補程式,並定期排程掃毒。 | |
| 資安監控平台(GrayLog)、防毒資安通報,系統日誌解讀分析,異常即時警示及緊急應變處置,以避免威脅擴大及風險擴增。 | |
| 應用程式安全 | 程式源碼弱點檢測。 |
| 資料安全保護 | 設置員工上網、電子郵件、USB 存取稽核等,以防止機敏資料的不當外流,也避免內部系統被植入惡意程式。 |
| 建立安全存取原則,定期要求密碼變更及啟用密碼複雜度設定,加強系統登入的身分驗證。 | |
| 特權帳號管理系統集中管理並記錄重要主機與伺服器等設備的特權帳號登錄與作業。 | |
| 教育訓練 | 每年定期對員工進行資通安全教育訓練與考核,增強員工的資安風險意識。 |
| 每年對員工進行電子郵件社交工程演練,加強員工對電子郵件社交工程的警覺性。 | |
| 實體環境安全 | 機房等資訊基礎設施,均設置門禁與 CCTV 系統,並定期對備援系統、UPS 不斷電系統及消防設施進行模擬演練,強化實體安全。 |
| 資通安全測試 | 每年定期紅隊演練。 |
| 合規 | 每年檢視資安政策目標及規章,關注資安議題及發展,並擬訂因應計畫,以確保其適當性及有效性。 |
資通安全運作情形
每年至少一次向董事會報告資訊安全風險管理運作情形,並檢討修訂相關規章制度,最近一次向董事會報告日期為2025年5月3日。
本公司依 ISO27001 導入資訊安全管理系統,並於2025年3月3日取得第三方認證(ISO/IEC 27001:2022 資安國際認證)。