1.資通安全組織:
本公司設立「資通安全委員會」,由事業單位最高主管擔任主委,建立由上而下的治理架構。委員會下設置資安長及資安專責單位,綜理資訊安全相關事宜,建立流程維運、稽核、教育訓練及緊急應變等專責小組,並定期召開管理審查會議,確保資安管理系統深入企業文化並穩健運作
2.資通安全政策:
本公司致力於保護客戶資料及公司智慧財產,將其視為企業誠信與永續經營的核心。為落實資通安全政策之要求,並確保管理機制能適切符合國際資通安全趨勢與回應客戶對資安的嚴謹要求,本公司持續透過導入ISO/IEC 27001資訊安全管理系統,藉由系統化的管理流程,強化資通安全事件應變能力及達成資訊安全政策衡量指標,建構一個安全、可靠且具備高度韌性的資訊環境,全面守護客戶隱私與公司智慧財產。
在驗證實績方面,本公司自2019年起持續通過ISO/IEC 27001國際資訊安全管理標準之驗證稽核,並於2022年3月完成換證審查取得證書,有效期至2025年3 月15日。隨後因應營運發展需求,在2024年將驗證範圍擴大至台灣新北機房及內部資料儲存系統,並於2025年1月正式通過新版ISO/IEC 27001:2022的第三方驗證,展現本公司資安防護範疇之延伸與管理標準之持續進化。現行證書有效期為: 2025年2月12日至2028年2月11日。
3.資安風險控制:
面對日新月異的網路威脅,本公司採取多層次的防護策略,積極的規劃部署資通安全措施,持續改善資通安全環境,降低資通安全風險。
管理層面:從人力安全、資產管理、存取控制、實體安全、系統開發與營運持續等面向,制訂標準化管理規範。
技術層面:部署次世代防火牆、入侵偵測系統、郵件安全過濾、終端防護、網路准入控制及定期弱點掃描。
營運韌性強化:為確保極端狀況下的業務連續性,本公司持續擴大營運持續演練系統規模,納入更多核心業務情境,模擬系統中斷後的復原流程,確保能在最短時間內恢復運作。
監督機制:定期執行內外部資安稽核,並每年將風險控制與改善成果呈報至資安委員會,確保風險控管之有效性。
集團資安聯防機制:定期參與集團資安聯防會議,與集團內部各事業體交換威脅情資、檢討安全事件,並同步最新法規遵循要求,確保本公司資安策略與集團最新標準接軌。
情資同步:對接集團資安監控中心,獲取全球最新的攻擊特徵與惡意路徑,實現早期預警機制。
4.員工資安訓練:
本公司落實人員教育訓練,提升資訊保護機制與資訊安全管理,在新人入職時進行基本的資通安全教育訓練,對在職人員通過定期的資安教育訓練、海報、影片宣導強化員工的資安意識。內容包括:政策說明、營業秘密保護、個人隱私保護、網路釣魚、勒索病毒、商務郵件攻擊、詐騙手法及事件通報流程等,以提高員工防範外部惡意攻擊的意識,為公司生產經營活動提供資通安全保障。
5.本公司2025年未發生任何衝擊公司營運的重大網路攻擊事件。
