资讯安全管理

资讯安全管理

资讯安全管理

资讯安全管理策略与架构

网路发达的现况,各种骇客软体、恶意程式其攻击的手法及技术日新月异,加密勒索病毒及各类网路攻击事件频传,显示资讯系统无法完全避免来自任何第三方的目标式网路攻击,网路攻击可能透过钓鱼邮件、软体漏洞、暴力破解等方式,将恶意程式植入公司内部网路进行破坏或资料窃取。本公司针对资讯安全风险,规划制定相关之政策、组织、程序,以降低公司营运之风险。

管理单位

基于资讯安全的重要性,制定相关资安政策及相关标准程序,管理单位每月定期向总经理提出书面报告,呈报上月资讯安全治理与执行状况。

资讯工程处
  • 制定资安政策
  • 依政策制定符合法规之标准程序
专责单位

本公司资讯安全之权责单位为资讯工程处,设置资安暨系统工程部,主管一名及专业资讯工程师数名,负责规划、执行及推动资讯安全管理事项,并推展资讯安全意识。

资安暨系统工程部
  • 资安政策倡导与教育训练
  • 依标准程序,配合最新资讯技术执行
监理单位

本公司资讯安全监理之内部稽核由稽核室担任,外部稽核由会计师查核,透过内、外部稽核之定期查核,并追踪改善成效,以降低资安风险。

稽核室/外部稽核
  • 依执行成果定期查核,检讨缺失并要求改善

资讯安全政策

 
提升资安意识

全面提升资安意识,建立资讯安全环境,以保护公司智慧财产及保障公司利益、各单位资讯系统之永续运作。

确保机密性

确保公司营业秘密及营运资讯之机密性、完整性与可用性,提高作业效能与品质。

持续研究发展

公司持续投入大量资源于先进技术之研究发展,为公司维持竞争力之重要关键,面对日趋危险之网路环境,保护机密资讯安全为公司所有员工之共同责任。

信息安全推动小组

公司成立资讯安全推动小组,以期透过跨部门整合,全面提升资讯安全之共识及措施。

资讯安全管理

  • 本公司为确保涉及公司营业秘密等机密资料之安全性,制定相关资讯安全管理办法,包括资讯安全管理规定、密码原则、邮件使用规范、备份管理规范、系统复原计划及软件管理办法,并持续加强对网络与系统架构之检测与评估,提升并强化软硬件安全防护系统。此外,为确保资讯安全之完整性,本公司加入 TWCERT/CC(台湾电脑网络危机处理暨协调中心)之资安联防通报机制,并于公司内部设置资安宣导专区,透过定期宣导及不定期公告方式,并配合定期之社交工程演练,建立员工正确的资安观念与行为,提升资安意识。2025 年,本公司进行外部资安团队之渗透测试,以针对弱点进行补强,并持续修正外寄邮件白名单管理规则,降低资料外泄风险,提升公司整体资安防御能力。
  • 为确保无法预期之重大灾难,于 2025 年根据资安事件管理办法及异地备援计画,进行异地备援演练及资安事件处理演练。

资讯安全具体管制措施

  • 本公司采取多层防火墙阻隔的资安防护,限制外部存取,降低公司资讯系统暴露于对外网路之风险,并透过内外网建置,隔绝公司重要资讯环境。
  • 透过建置防火墙、邮件过滤系统、木马及病毒侦测机制、端点主动防护系统、多因素认证等机制进行阻绝,内部除进行定期弱点扫描并修补程式漏洞外,并透过合规检核软体,追踪管理内部资讯设备,确保公司设备不受攻击。
  • 于资料安全方面,根据管理办法针对重要系统及资料定期进行本地备份与异地备份,确保资料被加密及降低资料损坏之风险,以维护公司重要资讯之环境,降低公司对外网路遭入侵之风险。并透过防护内部资料外泄与收集存取记录之机制,搭配经验法则归纳出可疑的行为,即时分析通报,阻绝资料外流于第一时间,确保公司之持续营运。

机密资讯管理

  • 本公司相当重视机密资讯的保护,除依循相关管理程序妥善管控营业秘密与机密资料外,更落实员工教育训练,以确保利害关系人的利益。针对公司、客户和供应商间机密资料之管理,除资讯安全之相关管理规范外,同时制定:人员管理规范、保密协议、产品开发管理系统及极机密专案策略。
  • 2025 年本公司并未接获相关客户隐私侵犯之投诉,亦无机密资讯外流之资安事件。
 
人员管理规范

包含员工入职及离职时所需负担之保密义务、设置严格的门禁管制。

保密协议

与往来客户和供货商签订保密协议(合约、声明书),并确实遵守保密规定。

产品开发管理系统

所有产品开发均依循产品开发流程,并辅以内部「产品开发管理系统」之运行,各阶段角色人员具不同权限,可同时兼顾产品开发流程之严谨度以及专案资讯之安全性。

极机密专案策略

针对客户特别要求之极机密专案,已制定客户机密资讯资产管制作业规范,并设置专属管制区,人员、资讯设备、资讯档案完全隔离,管制区内所有资讯档案再设置加密区,确保客户之专案资讯无外流之风险。

投入资讯安全管理之资源

为实践资通安全政策之原则,投入之资源如下:

 
硬体设备

防火墙、邮件防毒、垃圾邮件过滤、上网行为分析及入侵防护等。

软体系统

端点防护系统、备份管理软体、档案稽核、多因素认证、特权管理、合规安全及资料外泄防护。

电信端服务

多重备援线路、分散式阻断攻击防护等。

定期执行

每日各系统状态检查、每周定期备份及备份媒体异地存放之执行、每季至少两次资安宣导、每年系统灾难复原执行演练、每年对资讯循环之内部及外部稽核等。

资安人力

资安主管一名及资安人员数名,负责资安架构设计、资安维运与监控、资安事件回应与调查、资安政策检讨与修订,资安主管每月向总经理报告资安状况。

资讯安全管理成效

  • 为确保资安政策之方向性与适宜性,本公司设有资安专责单位,负责制定资安政策与目标、执行资讯作业安全管理规划,并定期检讨资安政策。本公司每年定期将资讯安全管理及执行成果提报董事会,最近一年度提报董事会之日期为 2025 年 8 月 5 日。
  • 为提升员工资安意识,除定期进行资安宣导外,每年亦不定期实施无预警之社交工程演练,并依据演练结果进行检讨与改善,借此强化各单位及员工之资安意识。
  • 为持续提升资讯安全管理,公司除建立定期检视与演练机制外,亦督导资安专责人员参与专业培训,并取得涵盖资讯安全管理、渗透测试及隐私保护等领域之国际认证。透过制度化之教育与认证安排,确保资安团队具备多元专业能力,并持续强化整体防护能量,以因应快速变化之资安风险。
  • 本公司落实资安管理,2025 年度资讯安全措施推动执行成效如下:
政策
4
资安规范

修订 4 项资安相关规范SOP
001/002/011/017 

宣导/演练
16
资安宣导

每月定期发布资安宣导

12
社交工程演练

每半年六次不定期社交工程演练

事件
462
即时资安警示
  • 透过自行开发之资安工具,有效及时发出资安警示 462 次
  • 收集相关系统之资讯归纳公司特有的经验法则开发自有之资安工具
109
个案通报分析

109 次个案通报之资讯活动分析

問卷
4.32 分(滿分 5 分)
资讯安全满意度
  • 2025 年全年两次全体同仁问卷调查
  • OA 、 RD 、 主管对资讯安全之满意度 4.32 分
  • 总计填写率 76.35%
  • 透过问卷持续收集同仁对于资讯安全之建议,持续改善公司资安环境
执行纪录
7,585
威胁邮件

成功阻挡 7,585 封威胁邮件

264,103 次/月
网络攻击
  • 阻挡高风险攻击次数平均 26,069 次/月
  • 阻挡中风险攻击次数平均 196,683 次/月
  • 阻挡严重风险攻击次数平均 181 次/月
24,701 次/月
病毒隔离

病毒及安全性隔离平均 24,701 次/月

1,317 次/月
尝试登入

阻挡针对性尝试登入入侵 1,317 次/月

投资人联系

如有任何投资人相关问题,欢迎您与我们联络。

财务部投资人关系
林小姐

电话

(03)666-1818 #2801

股务代理
台新综合证券股份有限公司股务代理部

电话

(02) 2504-8125

地址

10491 台北市建国北路一段
96 号地下一楼