投資人專區

 

 

投資人及利害關係人專區

公司治理/  資通安全

資通安全管理：

(一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源：

1.資通安全風險管理架構

(1)本公司以資訊室為資通安全風險管理權責單位，負責訂定、規劃及執行資通安全風險管理政策，並定期向董事長報告公司資通安全施行概況。

(2)本公司稽核單位為資通安全管理之督導單位，負責督導資通安全管理執行狀況，若有查核發現缺失，即要求受查單位提出相關改善計畫與具體作為，且定期追蹤改善成效，以降低資通安全風險。

2.資訊安全政策

(1)本公司訂有資通安全檢查作業辦法，落實內控制度及維護資訊安全政策，定期檢視和評估其安全規章及程序，確保其適當性和有效性。

(2)業已於民國114年5月取得ISO/IEC 27001:2022資訊安全管理標準認證，效期為2025/7/17~2026/4/5。

(3)已訂定並公告資訊安全政策，強化資安防護，並落實執行資訊安全風險評鑑及管理作業，確保公司資訊資產的機密性、完整性、可用性及個人資料的保護。

3.資訊安全具體管理方案

(1)USB管控：管制USB隨身碟之使用，避免資料外洩及電腦病毒傳播。

(2)異地備援系統規劃(DR)演練：資料定期備份；核心系統定期災難復原演練。

(3)端點資安：建置端點防毒措施，強化惡意軟體行為偵測，全面汰換Win7電腦。

(4)弱點掃描：每年定期執行www  內部網段弱點掃描，修補系統與軟體風險漏洞。

(5)滲透測試：每年定期執行www主機滲透測試，修補資安漏洞。

(6)資安宣導：每月不定期員工資安意識宣導。

(7)網路資安：導入NGFW防火牆：提昇網路資安防護力。

(8)社交工程演練：每年定期模擬釣魚網站的手法進行演練，以加強員工的資安意識，同時敦促主管加強宣導所屬同仁的資安警覺。

(9)文件加密：管制文件之使用，預防資料外洩。

(10)外發文件加密管理：管制提供予廠商或客戶文件之使用，避免資料外洩。

(11)文件列印浮水印：預防文件被不當攜出。

(12) SOC資通安全威脅偵測管理: 第一時間內對資安事件做應變處理，將損害降至最低。

(13)資安健診：每年定期執行資產識別與盤點、網路架構檢視、網路行為分析與惡意活動檢視、封包側錄與深度封包分析、提供風險評估與建議改善措施方案。

(14)零信任網路安全機制：防止未授權設備連接 , 縮小安全事件的影響範圍。

(15) MDR威脅偵測應變服務：全年不中斷的資安專家偵測與應變服務。

(16)電子郵件過濾機制：阻檔垃圾郵件、網路釣魚內容和惡意軟體，保護收件匣免受侵擾。

(17)雙因子認證：必須提供兩個不同的驗證因素，而不只是使用者名稱和密碼。防止惡意人士接近網路和系統。

(18)複雜性密碼原則：強化密碼規則，採政府組態基準(GCB)密碼原則。

4.投入資通安全管理之資源

(1)資安案例分享及強化資安意識宣導，114年共計14次。

(2)軟體盤點：每年一次，以保證合法使用授權軟體及防範惡意軟體。

(3)端點防護：每日檢查病毒碼更新，每日檢查微軟作業系統更新。

(4)威脅偵測應變服務：X86伺服器與個人電腦全面導入MDR。

(5)復原(DR)演練：每季一次，核心系統復原演練。

(6)個人電腦/伺服器弱點掃瞄：每年一次，修補系統軟體資安漏洞。

(7)雲端系統：全面採用Azure/Office 365/Google Workspace，服務不中斷。

(8)滲透測試：每年一次，修補網站資安漏洞。

(9)網站弱點掃描與修補：每年二次，修補軟體風險漏洞。

(10)社交工程演練：每年一次，加強員工的資安意識。

(11)資通安全威脅偵測管理(SOC)：對資安事件做應變處理並將損害降至最低。

(12)資安健診：每年定期執行，提供風險評估與建議措施。

(13)維護合約：系統與設備維護合約，降低營運風險，縮短停機時間。

(14)ISO/IEC 27001:2022資訊安全管理標準。