資通安全管理



資通安全目的與範圍


資通安全管理係為確保資訊網路安全及穩定,避免資訊系統發生異常及電腦資料損毀,導致公司業務無法持續,本公司已訂定資訊安全政策及資訊安全作業程序,明訂資訊系統、網路及個人電腦的管理規範,以及員工上網與郵件收發的安全行為準則,以保障公司的資通安全。



資訊安全風險架構


本公司於2022年1月成立資安專責單位,並於同年8月設立資安長,負責督導公司資通安全管理業務的執行,定期跨部門召開資通安全推動小組會議,審視資通安全控制措施的實施與成效,以及協調資訊安全管理業務的推動;同時配合資通安全組推動之資安管理作業,整合資安業務的分工與執行的一致性,以及協調公司資源的調度與分配。



資通安全政策


  1. 遵守法規要求,普及資安意識。
  2. 重視風險管理,保護資料安全。
  3. 要求全員參與,追求持續改善。


資通安全控制措施


  1. 採用多層次緃深防禦架構,建置防火牆、入侵偵測系統(IPS)、惡意網址過濾與進階持續性威脅功擊防禦(APT),以防範來自外部網路的惡意攻擊。
  2. 設置員工上網、電子郵件、USB存取稽核等,以防止機敏資料的不當外流,也避免內部系統被植入惡意程式。
  3. 定期要求密碼變更及啟用密碼複雜度設定,加強系統登入的身分驗證。
  4. 電腦安裝防毒軟體,即時更新病毒碼及安全性修補程式,建立安全存取原則,並管制USB裝置的連接存取,強化端點防護能力。
  5. SOC、防毒資安通報,系統日誌解讀分析,異常即時警示及緊急應變處置,以避免威脅擴大及風險擴增。
  6. 機房等資訊基礎設施,均設置門禁與CCTV系統,並定期對備援系統、UPS不斷電系統及消防設施進行模擬演練,強化實體安全。
  7. 每年定期對員工進行資通安全教育訓練與考核,增強員工的資安風險意識。
  8. 每年檢視資安政策目標及規章,關注資安議題及發展,並擬定因應計劃,以確保其適當性及有效性。


資通安全運作情形


每年至少一次向董事會報告資訊安全風險管理運作情形,並檢討修訂相關規章制度,最近一次向董事會報告日期為2024年5月3日。
本公司自2024年起依ISO27001導入資訊安全管理系統,並於2025年3月3日取得第三方認證(ISO/IEC 27001:2022 資安國際認證)。