資訊安全管理

資訊安全管理

資訊安全管理

資訊安全管理策略與架構

網路發達的現況,各種駭客軟體、惡意程式其攻擊的手法及技術日新月異,加密勒索病毒及各類網路攻擊事件頻傳,顯示資訊系統無法完全避免來自任何第三方的目標式網路攻擊,網路攻擊可能透過釣魚郵件、軟體漏洞、暴力破解等方式,將惡意程式植入公司內部網路進行破壞或資料竊取。本公司針對資訊安全風險,規劃制定相關之政策、組織、程序,以降低公司營運之風險。

管理單位

基於資訊安全的重要性,制定相關資安政策及相關標準程序,管理單位每月定期向總經理提出書面報告,呈報上月資訊安全治理與執行狀況。

資訊工程處
  • 制定資安政策
  • 依政策制定符合法規之標準程序
專責單位

本公司資訊安全之權責單位為資訊工程處,設置資安暨系統工程部,主管一名及專業資訊工程師數名,負責規劃、執行及推動資訊安全管理事項,並推展資訊安全意識。

資安暨系統工程部
  • 資安政策宣導與教育訓練
  • 依標準程序,配合最新資訊技術執行
監理單位

本公司資訊安全監理之內部稽核由稽核室擔任,外部稽核由會計師查核,透過內、外部稽核之定期查核,並追蹤改善成效,以降低資安風險。

稽核室/外部稽核
  • 依執行成果定期查核,檢討缺失並要求改善

資訊安全政策

 
提升資安意識

全面提升資安意識,建立資訊安全環境,以保護公司智慧財產及保障公司利益、各單位資訊系統之永續運作。

確保機密性

確保公司營業秘密及營運資訊之機密性、完整性與可用性,提高作業效能與品質。

持續研究發展

公司持續投入大量資源於先進技術之研究發展,為公司維持競爭力之重要關鍵,面對日趨危險之網路環境,保護機密資訊安全為公司所有員工之共同責任。

資訊安全推動小組

公司成立資訊安全推動小組,以期透過跨部門整合,全面提升資訊安全之共識及措施。

資訊安全管理

  • 本公司為確保公司攸關營業秘密等機密資料具安全性,制定相關之資訊安全相關管理辦法,如資訊安全管理規定、密碼原則、郵件使用規範、備份管理規範、系統復原計畫、軟體管理辦法,並持續加強檢測、評估網路與系統架構,提升及強化安全防護的軟硬體系統。此外,為求資訊安全之完整性加入TWCERT/CC(台灣電腦網路危機處理暨協調中心)之資安聯防通報,並於公司內部設置資安宣導專區,透過定期宣導及不定期公告方式,以及定期的社交工程演練,建立員工正確的資安觀念及行為,提升資安意識。2025年進行外部資安團隊之滲透測試,以針對弱點進行補強,並持續修正外寄郵件白名單管理規則,降低資料外流風險,提升公司整體的資安防禦能力。
  • 為確保無法預期之重大災難,於 2025年根據資安事件管理辦法及異地備援計畫,進行異地備援演練及資安事件處理演練。

資訊安全具體管制措施

  • 本公司採取多層防火牆阻隔的資安防護,限制外部存取,降低公司資訊系統暴露於對外網路之風險,並透過內外網建置,隔絕公司重要資訊環境。
  • 透過建置防火牆、郵件過濾系統、木馬及病毒偵測機制、端點主動防護系統、多因素認證等機制進行阻絕,內部除進行定期弱點掃描並修補程式漏洞外,並透過合規檢核軟體,追蹤管理內部資訊設備,確保公司設備不受攻擊。
  • 於資料安全方面,根據管理辦法針對重要系統及資料定期進行本地備份與異地備份,確保資料被加密及降低資料損壞之風險,以維護公司重要資訊之環境,降低公司對外網路遭入侵之風險。並透過防護內部資料外洩與收集存取記錄之機制,搭配經驗法則歸納出可疑的行為,即時分析通報,阻絕資料外流於第一時間,確保公司之持續營運。

機密資訊管理

  • 本公司相當重視機密資訊的保護,除依循相關管理程序妥善管控營業秘密與機密資料外,更落實員工教育訓練,以確保利害關係人的利益。針對公司、客戶和供應商間機密資料之管理,除資訊安全之相關管理規範外,同時制定:人員管理規範、保密協議、產品開發管理系統及極機密專案策略。
  • 2025 年本公司並未接獲相關客戶隱私侵犯之投訴,亦無機密資訊外流之資安事件。
 
人員管理規範

包含員工入職及離職時所需負擔之保密義務、設置嚴格的門禁管制。

保密協議

與往來客戶和供應商簽訂保密協議(合約、聲明書),並確實遵守保密規定。

產品開發管理系統

所有產品開發均依循產品開發流程,並輔以內部「產品開發管理系統」之運行,各階段角色人員具不同權限,可同時兼顧產品開發流程之嚴謹度以及專案資訊之安全性。

極機密專案策略

針對客戶特別要求之極機密專案,已制定客戶機密資訊資產管制作業規範,並設置專屬管制區,人員、資訊設備、資訊檔案完全隔離,管制區內所有資訊檔案再設置加密區,確保客戶之專案資訊無外流之風險。

投入資訊安全管理之資源

為實踐資通安全政策之原則,投入之資源如下:

 
硬體設備

防火牆、郵件防毒、垃圾郵件過濾、上網行為分析及入侵防護等。

軟體系統

端點防護系統、備份管理軟體、檔案稽核、多因素認證、特權管理、合規安全及資料外洩防護。

電信端服務

多重備援線路、分散式阻斷攻擊防護等。

定期執行

每日各系統狀態檢查、每週定期備份及備份媒體異地存放之執行、每季至少兩次資安宣導、每年系統災難復原執行演練、每年對資訊循環之內部及外部稽核等。

資安人力

設置資安主管一名及資安人員數名,負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂;資安主管並每月向總經理報告資安狀況。

資訊安全管理成效

  • 為確保資安政策之方向及適宜性,本公司設有資安專責單位,負責制定資安政策及目標、執行資訊作業安全管理規劃並定期檢討資安政策,本公司每年定期將資訊安全管理及執行成果向董事會報告,最近年度提報董事會日期為 2025 年 8 月 5 日。
  • 為提升員工資安意識,除定期之資安宣導外,每年不定期進行無預警之社交工程演練,透過演練結果加以檢討及改善,藉此強化各單位及員工之資安意識。
  • 為持續提升資訊安全管理,公司除建立定期檢視與演練機制外,亦督導資安專責人員參與專業培訓並取得涵蓋資訊安全管理、滲透測試及隱私保護等領域的國際認證。透過制度化的教育與認證安排,確保資安團隊具備多元專業能力,並持續強化整體防護能量,以因應快速變化的資安風險。
  • 本公司落實資安管理,2025 年度資訊安全措施推動執行成效如下:
政策
4
資安規範

修訂 4 個資安相關規範SOP
001/002/011/017 

宣導/演練
16
資安宣導

每月定期發布資安宣導

12
社交工程演練

每半年六次不定期社交工程演練

事件
462
即時資安警示
  • 透過自行開發之資安工具,有效及時發出資安警示 462 次
  • 收集相關系統之資訊歸納公司特有的經驗法則開發自有之資安工具

 

109
個案通報分析

109次個案通報之資訊活動分析

問卷
4.32 分(滿分 5 分)
資訊安全滿意度
  • 2025 年全年兩次全體同仁問卷調查
  • OA、RD、主管對資訊安全之滿意度 4.32 分
  • 總計填寫率 76.35%
  • 透過問卷持續收集同仁對於資訊安全之建議,持續改善公司資安環境
執行紀錄
7,585
威脅郵件

成功阻擋 7,585 封威脅郵件

 

 

 

264,103 次/月
網路攻擊
  • 阻擋高風險攻擊次數平均 26,069 次/月
  • 阻擋中風險攻擊次數平均 196,683 次/月
  • 阻擋嚴重風險攻擊次數平均 181 次/月

     

24,701 次/月
病毒隔離

病毒及安全性隔離平均 24,701 次/月

 

 

 

 

 

 

1,317 次/月
嘗試登入

阻擋針對性嘗試登入入侵 1,317 次/月

 

 

 

投資人聯繫

如有任何投資人相關問題,歡迎您與我們聯絡。

財務部投資人關係
林小姐

電話

(03)666-1818 #2801

股務代理
台新綜合證券股份有限公司股務代理部

電話

(02) 2504-8125

地址

10491 台北市建國北路一段
96 號地下一樓